Einträge für aktuell eingeloggte Benutzer auf einem System haben den Typ 7 (USER_PROCESS). Das Kommando who(1) verwendet standardmäßig die Datei /etc/utmp und liefert alle Einträge des Typs 7:

$ who
user1       pts/1       Jan 11 14:03     (192.168.1.17)
user1       pts/2       Jan 11 16:05     (192.168.1.17)
user2       pts/4       Jan 10 08:28     (192.168.1.17)
$

Ein Vergleich mit der Ausgabe von fwtmp(1) und filtern auf den Typ 7 liefert die gleichen Informationen:

# /usr/sbin/acct/fwtmp </etc/utmp  |grep " 7 "
user1    pts/1          pts/1         7 24576272 0005 41223 1641906231 192.168.1.17                   Tue Jan 11 14:03:51 CET 2022
user1    pts/2          pts/2         7 24576272 0010 25740 1641913527 192.168.1.17                   Tue Jan 11 16:05:27 CET 2022
user2    pts/4          pts/4         7 23069024 0010 53046 1641799722 192.168.1.17                   Mon Jan 10 08:28:42 CET 2022
#

Die Standard-Ausgabe von who liefert nur die Felder ut_user, ut_line, ut_time und ut_host. Möchte man weitere Informationen sehen, kann die Option ‚-u‘ verwendet werden:

$ who -uH
Name        Line           Time     Activity       PID Hostname
user1       pts/1       Jan 11 14:03     0:01  24576272  (192.168.1.17)
user1       pts/2       Jan 11 16:05      .    24576272  (192.168.1.17)
user2       pts/4       Jan 10 08:28     old   23069024  (192.168.1.17)
$

Hinweis: Die Option ‚-H‘ fügt eine Header-Zeile hinzu.

Es wird dann zusätzlich die PID und die Aktivität angezeigt. Ein „.“ bedeutet es gab Aktivität während der letzten Minute, der Wert „old“ bedeutet das es während der letzten 24 Stunden keine Aktivität gab, jeder andere Wert gibt Stunden und Minuten an, die seit der letzten Aktivität vergangen sind.

Man kann für die gezeigten Beispiele auch eine utmp-Datei wie /var/adm/wtmp (oder eine andere) angeben, für diesen Zweck gibt es aber das Kommando last(1) (siehe später). Wir zeigen daher hier nur ein Beispiel von who(1) mit der Datei /etc/security/failedlogin.

Möchte man wissen für welche Benutzer es in der Vergangenheit fehlgeschlagene Logins gab, kann dies relativ leicht festgestellt werden:

# who /etc/security/failedlogin
…
root        vty0        Aug 31 19:14    
UNKNOWN_    ssh         Sep 10 15:09     (192.168.1.17)
user1       ssh         Sep 11 13:42     (192.168.1.17)      
user2       FTP         Nov 13 10:26     (loopback)     
…
# 

Die Beispiel-Ausgabe zeigt einen fehlerhaften Login-Versuch von root auf der System-Konsole (vty0), einen Fehlversuch eines unbekannten Benutzers (UNKNOWN_) vom System 192.168.1.17 per SSH, einen Fehlversuch des Benutzers user1 per SSH und einen Fehlversuch des Benutzers user2 per FTP über das Loopback-Interface.

Mit der Option ‚-q‘ (quick) bekommt man eine weniger detaillierte Aufstellung mit einer Summe am Ende:

# who -q /etc/security/failedlogin
...
user1      (192.168.1.17)
user1      (192.168.1.17)
Total users: 4381
#