last登录日志不是明文日志,很难伪造,只有被清空才能隐藏痕迹。但是直接清空的后果就是,管理员会发现异常,因为last不可能是空的。
查看日志的相关命令
命令 | 日志文件路径 | 功能 |
---|---|---|
last | /var/log/wtmp | 所有成功登录/登出的历史记录 |
lastb | /var/log/btmp | 登录失败记录 |
lastlog | /var/log/lastlog | 最近登录记录 |
清空日志记录的方法
因为last等日志是二进制文件,无法直接修改。
所以最简单的方法是清空日志文件本身,可以使用以下命令完成:
echo > /var/log/wtmp echo > /var/log/btmp echo > /var/log/lastlog
注意:查看和清空lastb日志时需要root权限。