Una manera molt bàsica de detectar intrusos en un servidor és fent seguiment de les sessions obertes, és a dir el que obtenim amb la comanda "who". A banda d'aquesta comanda, hi ha diverses utilitats que fan seguiment d'aquest paràmetre, com ara el phpsysinfo, el seguiment del sistema amb cacti...
El que m'he trobat però és que accedint en remot via ssh al Fedora Core 2, si la sessió no es tancava correctament, la continuava llistant com a activa, desvirtuant així el nombre real de sessions obertes en el sistema i la utilitat de fer-ne cap seguiment.

"Googlejant" he vist que hi ha una solució ben senzilla i prou segura, que escric per si un altre dia em convé de recordar-la: És tant senzill com deixat buit l'arxiu /var/run/utmp, respectant els permisos originals (644) i propietaris (root/utmp) en un moment en que sabem que no hi ha ningú més al sistema. Tanquem immediatament la sessió i ja tornem a tenir de nou la taula al dia. Amb això ja tornem a tenir la llista de sessions obertes al dia.