Este artículo se centra en tres archivos de Linux: utmp, wtmp y btmp. La grabación es una parte crucial en cualquier sistema operativo basado en Linux. Se mantienen registros de inicios y cierres de sesión en el sistema, así como intentos fallidos de inicio de sesión. En este artículo, explicaremos el archivo binario que se encarga de mantener los registros de inicios de sesión, cierres de sesión e intentos de inicio de sesión incorrectos o fallidos. El propósito de estos registros es proporcionar al sistema operativo y la aplicación Linux una línea de tiempo o un resumen de las circunstancias que pueden conducir a soluciones para cualquier problema de resolución de problemas que pueda ocurrir. Todos estos registros se registran en los tres archivos en Linux.
¿Qué son los archivos Utmp, Wtmp y Btmp en Linux?
utmp, wtmp y btmp son archivos binarios específicos que registran los inicios de sesión, los cierres de sesión y los intentos de inicio de sesión en su sistema Linux. Cuando usamos un comando específico, nos ayuda a encontrar el historial de quién inició sesión, cuándo inició sesión, lo que incluye el día, la fecha y la hora, y desde dónde alguien inició sesión en el sistema Linux, lo que incluye qué servidor se usó y la ubicación del terminal a través del cual el usuario accedió al sistema.
Archivo Utmp
La «u» en utmp significa usuario, ya que registra información sobre «quién» inició sesión en el sistema. Este registro también muestra la ubicación de los terminales a través de los cuales se inició sesión en el sistema. Es un archivo binario que administra los usuarios que iniciaron sesión en el sistema y registra todas las cuentas, como el estado actual del sistema, la administración y el registro de los inicios de sesión de los usuarios, cierres de sesión, terminales de inicio de sesión, etc. Estos archivos no son simples archivos de texto, sino que están en formato binario y generalmente se almacenan en /var/run/utmp.
Ejemplo 1:
Si ejecutamos un comando «quién» en el terminal, la información de inicio de sesión se obtiene de /var/run/utmp y luego la información registrada, como el estado de inicio de sesión actual, terminal de inicio de sesión, cierre de sesión, etc. Vea la siguiente imagen del mencionado comando y cómo muestra el registro:
Después de escribir el comando «quién» y ejecutarlo, obtenemos el siguiente resultado:
Aquí, los resultados nos muestran la ID del usuario, su fecha y hora de inicio de sesión, así como la ID del servidor. Estos registros son necesarios para todos los sistemas operativos Linux ya que ayudan a identificar la causa de cualquier problema que pueda surgir.
Archivo wtmp
La «w» en wtmp significa «quién», lo que significa que nos dice quién es el usuario y «cuándo» el usuario inició y cerró sesión; es toda la historia del usuario de utmp. El historial se encuentra en /var/log/wtmp y muestra todos los datos registrados anteriormente de inicios y cierres de sesión. Como wtmp registra todos los datos de inicio y cierre de sesión del usuario, se puede decir que conserva o mantiene todas las acciones y comandos de utmp. Su comando es «w» que muestra fundamentalmente los detalles de inicio de sesión y el historial del usuario.
Ejemplo 2:
Como aprendimos que wtmp es básicamente un registro para el archivo utmp, si ingresamos el comando: last –f/var/log/wtmp, muestra la lista de inicios y cierres de sesión y muestra el nombre de usuario y la dirección IP del sistema. Consulte la siguiente captura de pantalla para ver cómo el comando mencionado muestra los registros:
El siguiente es el resultado que obtenemos cuando le damos el comando al sistema:
Como se puede ver en la salida, cuando se da el comando, genera el informe de inicios y cierres de sesión del sistema. Esta salida muestra las marcas de tiempo, los días y las fechas, así como el estado del sistema, por ejemplo, si el usuario aún está conectado, si el sistema aún se está ejecutando o se ha bloqueado, si el usuario ha cerrado la sesión o si se ha apagado.
Archivo btmp
La «b» en btmp es para «malo», ya que registra todos los intentos de inicio de sesión incorrectos, fallidos o erróneos. Es similar al archivo wtmp, ya que registra y mantiene los intentos de inicio de sesión fallidos o incorrectos y se encuentra en /var/log/btmp. Como registra los intentos fallidos de inicio de sesión, también se puede utilizar con fines de seguridad. El archivo btmp está basado en /var/log/btmp y se genera automáticamente tan pronto como se inicia el sistema. Se requieren privilegios Sudo para acceder al archivo y el comando «lastb» es para leer los archivos. Se puede ver en el ejemplo 3 que cuando se ejecuta el comando lastb, el sistema muestra el historial de los datos que muestran los intentos de inicio de sesión fallidos o incorrectos.
Ejemplo 3:
El historial de los intentos de inicio de sesión fallidos se puede ver ingresando el comando «lastb». Este comando, cuando se da, muestra todos los datos con respecto a los intentos fallidos o malos intentos de inicio de sesión en el sistema junto con el servidor que se utilizó. El servidor puede ser local o remoto dependiendo de la ubicación de los usuarios.
La siguiente es la captura de pantalla adjunta del comando para ver los registros de intentos de inicio de sesión en Linux.
Después de ingresar el comando, presione enter para ejecutarlo. La salida del comando anterior es la siguiente:
Aquí, el resultado muestra el día, la fecha y la hora del intento de inicio de sesión en el sistema. Btmp es un archivo necesario ya que registra los intentos fallidos de inicio de sesión. Como se registran en tales detalles, también ayuda con la seguridad.
Conclusión
Este artículo es una breve y sencilla revisión de los tres archivos de registro que registran la actividad en el sistema en Linux. Aquí discutimos y exploramos los archivos utmp, wtmp y btmp en Linux. También aprendimos a diferenciar entre estos tres archivos y para qué se utilizan. Estos tres archivos contienen los datos de los inicios y cierres de sesión, así como los registros de la ubicación de los servidores a través de los cuales un usuario inició sesión, ya sea desde el servidor local o desde un servidor remoto. Con la ayuda de estos tres archivos, podemos rastrear cualquier fuente que pueda causar los problemas de solución de problemas. Si no está familiarizado con estos archivos, este artículo proporciona explicaciones simples y fáciles de estos archivos para aclarar y profundizar sus conceptos. Para una mejor comprensión de estos conceptos,