Linux下清理删除last登陆日志
0x00 前言
linux下命令行输入命令会产生history日志,ssh远程登陆会产生登陆日志,如何清理本身的登陆日志是本文想要说明的主题。linux
固然, 做为管理员,主机是否有其余人登陆,你能够经过查看登陆日志,第一时间发现猫腻。由于不少小白黑客,都是值删除history日志的。web
last日志不是明文日志,很难伪造,只有被清理才能隐藏痕迹。可是直接清理的后果就是,管理员会发现异常,last不多是空的。shell
0x01 查看登陆日志
命令介绍
| 命令 | 日志文件 | 功能 |
|---|---|---|
last |
/var/log/wtmp | 全部成功登陆/登出的历史记录 |
lastb |
/var/log/btmp | 登陆失败尝试 |
lastlog |
/var/log/lastlog | 最近登陆记录 |
last日志
lastb日志
须要root权限bash
lastlog日志
须要说明的是,我这里没有远程登陆过,因此看不到远程登陆ip。正常是会很显眼的。ssh
0x02 清理记录
前言已经提到过了,last等日志是二进制文件,没法直接修改。因此清除的最简单方式是清空日志文件自己。svg
提醒各位道友: 不是删除日志文件spa
# > /var/log/wtmp # > /var/log/btmp # > /var/log/lastlog
清空lastb对应的/var/log/btmp文件须要root权限哈~.net
tips: 清空文件的各类姿式【传送门】命令行
0x03 参考文献
https://www.shellhacks.com/clear-remove-last-login-history-linux/
https://www.cyberciti.biz/faq/howto-display-clear-last-login-information/日志