adm/utmp,utmpx
這兩個文件是不具可讀性的，它們記錄著當前登錄在主機上的用戶，管理員可以用w，who等命令來看，下面為who的輸出結果，yiming pts/29 Jun 12 09：24 (11.22.33.44)
yiming pts/28 Jun 12 08：41 (11.22.33.43)
guest pts/30 Jun 12 09：26 (penetrate.hacker.com)
root pts/19 Jun 12 08：19 (:0.0)它的輸出很簡單，每行依次為用戶，pts號，時間，來源地點 。當管理員覺得系統(tǒng)表現(xiàn)可疑時，一般會用這兩個命令來看當前用戶，如果在輸出中有不正常的用戶名，或是來源ip較為可疑，則管理員需要引起注意了 。如上述guest這個用戶就比較可疑，雖然這個用戶名guest是合法的，但這個用戶的來源penetrate.Hacker.com看起來可是不太對勁 。系統(tǒng)管理員有必要監(jiān)視一下這個用戶的行為 。有一點要注意，管理員不能完全相信w，who及下面提到的last命令所報告的結果，使用特定的擦除日志軟件，如zap之類入侵者可以很輕松的抹掉入侵者的蹤跡，一個聰明的入侵者一般會將編譯好的擦除軟件傳到受害主機，并在侵入系統(tǒng)后馬上做擦除工作，比如他在受害主機執(zhí)行zap，如下，./zap -v guest
- WTMP：
WTMP = /var/adm/wtmp
Removing user guest at pos： 131328
Done!
- UTMP：
UTMP = /var/adm/utmp
Removing user guest at pos： 864
Done!
- LASTLOG：
LASTLOG = /var/adm/lastlog
User guest has no wtmp record 。Zeroing lastlog 。。
- WTMPX：
WTMPX = /var/adm/wtmpx
Done!
- UTMPX：
UTMPX = /var/adm/utmpx
Done!此時，在用w看時，我們看看發(fā)生了什么變化?yiming pts/29 Jun 12 09：24 (11.22.33.44)
yiming pts/28 Jun 12 08：41 (11.22.33.43)
root pts/19 Jun 12 08：19 (:0.0)我們可以看到入侵者消失了!這對入侵者是個好消息，但對一個安全意識較差的系統(tǒng)管理員而言，這臺主機可不大妙了 。建議如果系統(tǒng)看起來不大對勁，而用w，last等看出不出來端倪的話，還是安裝其它系統(tǒng)監(jiān)視軟件如ttywatcher，ethereal等仔細審核一下 。
adm/wtmp，wtmps
這兩個文件相當于歷史紀錄，它們記錄著所有登錄過主機的用戶，時間，來源等內(nèi)容，這兩個文件也是不具可讀性的 。可用last命令來看，如下 。support pts/13 11.22.33.44 Thu Apr 20 18：40 - 20：50 (02：10)
gogo pts/12 11.22.33.45 Thu Apr 20 1：53 - 17：21 (02：28)
root ftp secu.Unix.com Wed Apr 19 14：58 - 14：58 (00：00)管理員要注意那些發(fā)生在不正常時間或是來自可疑地點的登錄紀錄，如上面輸出結果中的gogo用戶，這個時間不太正常 。
與上面utmp，utmpx一樣，管理員也應該清楚：last只能給你一個大概的參考，不要完全相信last的結果 。
除了上述幾個文件外，在/var/log目錄下還有一個syslog文件，這個文件的內(nèi)容一般是紀錄mail事件的，管理員應該經(jīng)常檢查有沒有異常紀錄 。
最后來講一講Solaris一個很少被用起但卻極為有用的功能---記賬 。Solaris操作系統(tǒng)可以通過設置日志文件可以對每個用戶的每一條命令進行紀錄，這一功能默認是不開放的，為了打開它，需要執(zhí)行/usr/lib/acct目錄下的accton文件，格式如下/usr/lib/acct/accton /var/adm/pacct，在sun的手冊上，只有這一種用法，但這樣做的缺點是明顯的，大多數(shù)有經(jīng)驗的入侵者一定不會放過/var/adm和 /var/log這兩個目錄的，如果它們看到有pacct這個東西，不刪才怪 。針對這種情況其實有個很好的解決辦法，執(zhí)行/usr/lib/acct/accton 后面跟一個別的目錄和文件即可，如/usr/lib/acct/accton /yiming/log/commandlog，這樣入侵者不會在/var/adm/下看到pacct，入侵者也許會刪掉message，syslog等日志，但他并不知道實際上他所有的操作都被記錄在案，管理員事后只要把commandlog這個文件拷貝到/var/adm下，改為pacct，同時執(zhí)行讀取命令lastcomm，就一切盡在掌握啦 。如lastcomm hack，可得到下面的輸出結果：sh S hack pts/7 0.05 secs Mon Jun 12 14：28

推薦閱讀

• 

  水果和蔬菜的好處
• 

  南瓜爛了一點削掉還能吃不,南瓜中間軟了還能吃嗎
• 

  光遇晨島的所有動作在哪里
• 

  楚玄救女帝天雷霸體什么小說 《楚風墜崖錯救2位女帝》內(nèi)容簡介
• 

  伽羅臺詞 伽羅臺詞介紹
• 

  小米怎么截圖手機屏幕 小米5怎么截圖
• 

  葡萄干一天吃多少合適,葡萄干吃多了會怎樣
• 

  饑荒手游大理石護甲怎么做 饑荒合輯版大理石護甲用處介紹
• 

  雨水管漏水怎么維修
• 

  廣汽傳祺GA8：如何使用雨刮器？
• 

  選擇音響的技巧是什么
• 

  麻將機操作盤玻璃的拆除及擦洗 怎么更換麻將機玻璃
• 

  56歲重大疾病保險如何購買
• 

  qq空間好友動態(tài)秒贊介紹及常見問題介紹
• 

  豐田fs小車和大眾捷達小車哪個好，怎么選
• 

  書法的發(fā)展簡史

• Solaris平臺下的硬盤增設方法小結
• Solaris文件系統(tǒng)分區(qū)
• Solaris下Apache和Tomcat配置步驟
• Solaris Java運行環(huán)境配置指南
• Solaris操作系統(tǒng)使用小技巧
• Solaris內(nèi)核proc目錄簡介
• Solaris 10整合apache與php過程及出錯處理
• 在Solaris 下用DVD光盤保存數(shù)據(jù)
• Solaris10 for x86網(wǎng)卡替換配置攻略
• 下 圖解SMC下Solaris用戶圖形管理