Em um servidor RHEL 7.3, eu estava tentando encontrar usuários conectados. Eu corri w e ele me disse que havia dois usuários, mas só me mostrou a informação de um (eu mesmo); então eu corri who , que exibiu o outro usuário como (desconhecido). Finalmente, eu executei lastlog , com qual saída eu poderia corresponder à data de login e porta da saída de who e descobrir que o usuário desconhecido realmente é gdm .
$ w
09:33:36 up 4 days, 15:22, 2 users, load average: 0.00, 0.01, 0.05
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
myusr pts/0 172.16.23.113 09:32 0.00s 0.06s 0.03s w
$ who
(unknown) :0 2017-07-01 18:13 (:0)
myusr pts/0 2017-07-06 09:32 (172.16.23.113)
$ lastlog
Username Port From Latest
...
gdm :0 Sat Jul 1 18:13:23 -0500 2017
...
O servidor é uma máquina supermicro e, de tempos em tempos, eu me conecto a ele usando o recurso kvm sobre lan do IPMI2. Mas eu não me lembro de nada estranho acontecendo quando me conectei assim.
Isso não parece normal. O que poderia ter acontecido?
Depois de ler o comentário de Centimane sobre /var/run/utmp e pesquisar de forma diferente, encontrei este tópico do fórum do fedora , que mencionou o problema é provocado por um bug no GDM, que cria uma entrada incorreta em /var/run/utmp . Eventualmente eu até encontrei um relatório de erros para ele e outro aqui .
Parece mesmo que seu usuário desconhecido está gdm e who de alguma forma não conseguem interpretá-lo.