Linux 下能否抹掉所有操作记录？命令记录，登录记录

2015-09-10 21:37:26 +08:00

ToysMall

一台服务器怀疑被人登录了，执行了可疑操作，但是没有找到相关线索，怎么查看操作痕迹呢？

3154 次点击

所在节点

问与答

13 条回复

wanjun

2015-09-10 21:47:13 +08:00

可以清理的, 看看有没可疑进程和网络连接

lavadore

2015-09-10 21:50:15 +08:00

可以清理掉的

ToysMall

2015-09-10 22:09:07 +08:00

@wanjun 应该有登录日志，操作的 history 呀
@lavadore

lavadore

2015-09-10 22:20:47 +08:00

@ToysMall 这些很容易就清理了，日志就是普通文件，操作 history 也是普通文件, “ history -c ” 就抹掉了

0x1406F40

2015-09-10 22:42:51 +08:00

@lavadore 抹不掉，.bash_history 中依然有

ToysMall

2015-09-10 22:44:10 +08:00

@lavadore history -c 命令本身也会被记录

lavadore

2015-09-10 22:44:44 +08:00

@0x1406F40 cat /dev/null > .bash_history

lavadore

2015-09-10 22:45:37 +08:00

@ToysMall 举个例子而已，都是普通文件，直接清空就好了

xunyu

2015-09-10 22:46:18 +08:00

在 sudoer.d 里加上 mailto,一执行就发邮件通知

ryd994

2015-09-10 23:38:55 +08:00

wtmp 查登录时间
我记得是只能清空，篡改很麻烦

squid157

2015-09-11 00:58:40 +08:00

如果他拿到 root 权限了，除非你内核有一些组件，否则呵呵。没拿到 root 或者痕迹懒得清理干净，去 /var/log 下面翻翻看，默认会记录一些东西，你也可以要求系统记录更多东西

fuge

2015-09-11 07:24:14 +08:00

@lavadore 写反了吧

GPU

2015-09-11 08:32:32 +08:00

@ryd994 试过修改 wtmp 有现成的程序写好 .还算比较方便

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/219792

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.