0x00 前言
linux下命令行输入命令会产生history日志,ssh远程登录会产生登录日志,如何清理自己的登录日志是本文想要说明的主题。
当然, 作为管理员,主机是否有其他人登录,你可以通过查看登录日志,第一时间发现猫腻。因为很多小白黑客,都是值删除history日志的。
last日志不是明文日志,很难伪造,只有被清理才能隐藏痕迹。但是直接清理的后果就是,管理员会发现异常,last不可能是空的。
0x01 查看登录日志
命令介绍
命令 | 日志文件 | 功能 |
---|---|---|
last | /var/log/wtmp | 所有成功登录/登出的历史记录 |
lastb | /var/log/btmp | 登录失败尝试 |
lastlog | /var/log/lastlog | 最近登录记录 |
last日志
lastb日志
需要root权限
lastlog日志
需要说明的是,我这里没有远程登录过,所以看不到远程登录ip。正常是会很显眼的。
0x02 清理记录
前言已经提到过了,last等日志是二进制文件,无法直接修改。所以清除的最简单方式是清空日志文件本身。
提醒各位道友: 不是删除日志文件
# > /var/log/wtmp
# > /var/log/btmp
# > /var/log/lastlog
清空lastb对应的/var/log/btmp文件需要root权限哈~
tips: 清空文件的各种姿势【传送门】
0x03 参考文献
https://www.shellhacks.com/clear-remove-last-login-history-linux/
https://www.cyberciti.biz/faq/howto-display-clear-last-login-information/