w
não lida diretamente com os dispositivos tty - exibe apenas os registrados em /run/utmp
. Programas (como emuladores de terminal ou daemons de login remotos) geralmente se registram para se tornarem visíveis na lista w
/ who
, mas não são necessários para fazer isso.
Por exemplo, o utilitário screen
desregistra-se quando você desanexa, apesar de manter os dispositivos pty alocados. Um substituto popular da tela, tmux
, nunca usa o utmp - não está programado para usá-lo. Alguns emuladores de terminal não se registram simplesmente por falta de privilégios (o programa precisa ter setgid utmp). Poderia haver mais razões, e nem todas elas maliciosas.
Use lsof
ou fuser
para ver todos os processos com essas ptys abertos:
sudo fuser -v /dev/pts/*
sudo lsof /dev/pts/*