wtmp(5) записи о входах в систему

Other Alias

utmp

ОБЗОР

#include <utmp.h>

ОПИСАНИЕ

Файл utmp позволяет получать информацию о том, кто в данный момент работает в системе. Пользователей, в данное время использующих систему, может быть большое количество, поскольку не все программы используют протоколирование через utmp.

Предупреждение: utmp не должен быть доступен на запись классу пользователей "остальные", так как многие системные программы (что очень глупо) зависят от его целостности. Вы рискуете получить фиктивные системные файлы статистики и изменения в системных файлах, если предоставите любому пользователю возможность писать в файл utmp кроме владельца и группы, которой принадлежит файл.

Файл состоит из списка записей с типом структуры utmp, объявленной в <utmp.h> (заметим, что в данном случае указано только один из вариантов; детали зависят от версии libc):


/* Значения поля ut_type приведены далее */
#define EMPTY         0 /* запись не содержит корректной информации
                           (также называемая UT_UNKNOWN в Linux) */
#define RUN_LVL       1 /* изменение уровня выполнения (см.
                           init(8)) */
#define BOOT_TIME     2 /* время загрузки системы (в ut_tv) */
#define NEW_TIME      3 /* время после изменения часов системы
                           (в ut_tv) */
#define OLD_TIME      4 /* время до изменения часов в системе
                           (в ut_tv) */
#define INIT_PROCESS  5 /* процесс запущен init(8) */
#define LOGIN_PROCESS 6 /* процесс-лидер сеанса для пользовательского входа */
#define USER_PROCESS  7 /* нормальный процесс */
#define DEAD_PROCESS  8 /* завершённый процесс */
#define ACCOUNTING    9 /* не реализовано */
#define UT_LINESIZE      32
#define UT_NAMESIZE      32
#define UT_HOSTSIZE     256
struct exit_status {              /* тип для ut_exit, описан далее */
    short int e_termination;      /* код завершения процесса */
    short int e_exit;             /* код выхода процесса */
};
struct utmp {
    short   ut_type;              /* тип записи */
    pid_t   ut_pid;               /* PID процесса входа в систему */
    char    ut_line[UT_LINESIZE]; /* имя устройства tty - "/dev/" */
    char    ut_id[4];             /* суффикс имени терминала
                                     или inittab(5) ID */
    char    ut_user[UT_NAMESIZE]; /* имя пользователя */
    char    ut_host[UT_HOSTSIZE]; /* имя узла при удалённом входе или
                                     версия ядра для сообщений
                                     уровня выполнения */
    struct  exit_status ut_exit;  /* код выхода процесса,
                                     помеченного как DEAD_PROCESS; не
                                     используется Linux init(1) */
    /* Поля ut_session и ut_tv должны быть одинакового размера и при
       32- и при 64-битной компиляции. Это позволяет использовать файлы
       данных и память одновременно и в 32- и в 64-битных приложениях. */
#if __WORDSIZE == 64 && defined __WORDSIZE_COMPAT32
    int32_t ut_session;           /* ID сеанса (getsid(2)),
                                     используемый при работе с окнами */
    struct {
        int32_t tv_sec;           /* секунды */
        int32_t tv_usec;          /* микросекунды */
    } ut_tv;                      /* время создания элемента */
#else
     long   ut_session;           /* ID сеанса */
     struct timeval ut_tv;        /* время создания элемента */
#endif
    int32_t ut_addr_v6[4];        /* интернет-адрес удалённого
                                     узла; для адреса IPv4 используется
                                     только ut_addr_v6[0] */
    char __unused[20];            /* зарезервировано для будущего
                                     использования */
};
/* разное для обратной совместимости */
#define ut_name ut_user
#ifndef _NO_UT_TIME
#define ut_time ut_tv.tv_sec
#endif
#define ut_xtime ut_tv.tv_sec
#define ut_addr ut_addr_v6[0]

Эта структура дает имя специальному файлу, связанному с терминалом пользователя, именем входа пользователя и временем входа в виде как у time(2). Поля строк заканчиваются байтом null ('\'), если они короче, чем размер поля.

Самые первые записи создаются init(1) после обработки inittab(5). Хотя перед тем, как элемент обрабатывается, init(1) очищает utmp, устанавливая ut_type равным DEAD_PROCESS, заполняя ut_user, ut_host и ut_time нулевыми байтами в записях, в которых ut_type не равен DEAD_PROCESS или RUN_LVL и для которых не существует процессов с PID, равным ut_pid. Если не найдено ни одной пустой записи с нужным ut_id, то init(1) создает новую. Он устанавливает значение ut_id из inittab, ut_pid и ut_time из текущих значений и ut_type в INIT_PROCESS.

mingetty(8) (или agetty(8)) находит элементы по их идентификатору PID, меняет ut_type на LOGIN_PROCESS, изменяет ut_time, устанавливает ut_line и ожидает установки соединения.login(1), после того как пользователь был идентифицирован, меняет ut_type на USER_PROCESS, изменяет ut_time и устанавливает ut_host и ut_addr. В зависимости от mingetty(8) (или agetty(8)) и login(1), записи могут быть расположены в соответствии с ut_line, вместо более предпочитаемого ut_pid.

Когда init(1) обнаруживает, что процесс завершился, он находит его запись в utmp по ut_pid, устанавливает ut_type в DEAD_PROCESS, и затирает ut_user, ut_host и ut_time нулями.

xterm(1) и другие эмуляторы терминалов самостоятельно создают запись USER_PROCESS и генерируют ut_id, используя последние две буквы имени из имени терминала (символы после /dev/[pt]ty). Если они обнаруживают DEAD_PROCESS для этого ID, то они удаляют его или создают новый элемент. Если возможно, они пометят его как DEAD_PROCESS при выходе; предполагается, что они также обнуляют ut_line, ut_time, ut_user и ut_host.

telnetd(8) устанавливает элемент LOGIN_PROCESS и оставляет остальное, как обычно, аргументу для login(1). После завершения сеанса telnet, telnetd(8) очищает utmp вышеописанным путем.

В файл wtmp записываются все входы и выходы в систему. Его формат в точности похож на формат utmp, за исключением того, что пустое имя пользователя означает выход из системы через связанный терминал. Кроме того, название терминала ~ с именем пользователя shutdown или reboot означает выключение системы или её перезагрузку, а пара названий терминала |/} означает старое/новое системное время в случае, когда date(1) меняет их. В wtmp пишут login(1), init(1) и некоторые версии getty(8) (например, mingetty(8) или agetty(8)). Ни одна из этих программ не создает файл, поэтому если он удалён, то ведение записей заканчивается.

ФАЙЛЫ

/var/run/utmp
/var/log/wtmp

СООТВЕТСТВИЕ СТАНДАРТАМ

В POSIX.1 структура utmp не определена, но есть похожая с именем utmpx и полями ut_type, ut_pid, ut_line, ut_id, ut_user и ut_tv. В POSIX.1 не указан размер полей ut_line и ut_user.

В Linux структура utmpx совпадает со структурой utmp.

Сравнение со старыми системами

В Linux записи utmp не следуют форматам ни v7/BSD ни System V; они содержат поля из обоих форматов.

v7/BSD имеет меньшее количество полей; важнее всего то, что в нём нет ut_type, который заставляет v7/BSD-совместимые программы выводить, к примеру, отработавшие записи или записи о входе систему. Также в этой версии отсутствует файл настройки, который определяет места для сеансов. Всё это делается в BSD из-за отсутствия поля ut_id.

В Linux (как в System V) поле ut_id записи никогда не меняется после того, как один раз установлено, что позволяет резервировать место без необходимости в файле настройки. Очищение ut_id может привести к соперничеству, приводящему к повреждению элементов utmp и нарушению безопасности системы. Очистка вышеупомянутых полей нулями не требуется согласно семантике System V, но позволяет запускать многие программы, которые используют семантику BSD и которые не изменяют utmp. Linux использует соглашение BSD при работе с содержимым строк, как описано ранее.

В System V нет полей ut_host и ut_addr_v6.

ЗАМЕЧАНИЯ

В отличии от других систем, где протоколирование сообщений utmp может быть выключено простым удалением файла, в Linux файл utmp всегда должен существовать. Если вы хотите отключить who(1), то просто сделайте чтение utmp недоступным всем остальным.

Формат файла зависит от архитектуры, поэтому рекомендуется, чтобы он обрабатывался только на машинах с одинаковой архитектурой.

Заметим, что на двуархитектурных платформах, то есть системах, которые позволяют запускать сразу 32- и 64-битные приложения (x86-64, ppc64, s390x и т.д.), поле ut_tv имеет одинаковый размер в 32- и 64-битном режиме. Это же относится к ut_session и ut_time, если они есть. Это позволяет использовать файлы данных и память одновременно и в 32- и в 64-битных приложениях. Данная возможность достигается сменой типа ut_session на int32_t и ut_tv на структуру с двумя полями int32_t --- tv_sec и tv_usec. Так как ut_tv не может быть одинакова с struct timeval, то вместо вызова:


gettimeofday((struct timeval *) &ut.ut_tv, NULL);

для установки значения этого поля рекомендуется использовать:


struct utmp ut; struct timeval tv; gettimeofday(&tv, NULL); ut.ut_tv.tv_sec = tv.tv_sec; ut.ut_tv.tv_usec = tv.tv_usec;