V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
wxppkm
V2EX  ›  Linux

请教, last 只能看到最近几次登录信息,是否有安全风险?

  •  
  •   wxppkm · 2019-12-07 03:48:55 +08:00 · 4207 次点击
    这是一个创建于 1840 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我的一台服务器运行了一个月,last 得到的登录记录只有最近几天的,是否有安全风险呢?

    history 看历史命令似乎一切正常。

    多谢!

    8 条回复    2019-12-08 17:17:45 +08:00
    KentY
        1
    KentY  
       2019-12-07 08:14:36 +08:00
    你指的风险是什么?
    有人登录你的服务器然后你不知道? 还是什么
    KentY
        2
    KentY  
       2019-12-07 08:17:05 +08:00
    另外你看看 last 的 man page 我记得很多选项可以看从某一时间以来的记录. since 还是什么的
    KandeShih
        3
    KandeShih  
       2019-12-07 08:25:51 +08:00 via iPhone
    last -a
    scriptB0y
        4
    scriptB0y  
       2019-12-07 11:39:04 +08:00
    last 其实读的是 /tmp/wtmp 文件,你也可以用 utmpdump 去看

    $ utmpdump /var/log/wtmp

    要是这个文件没有保存全的话,看下有没有 logrotate 之类的配置把这个文件截断了
    wxppkm
        5
    wxppkm  
    OP
       2019-12-07 14:10:01 +08:00
    @KentY 是的,我是外行,网上看到说有可能别人登录之后删除登录日志,于是 last 看了一下,有几台服务器还真没有几条记录(远少于我实际登录的次数),只有最近几次的。担心别人登录了而我不知道。不过 history 看命令没有异常,从最初到现在的都在。
    @KandeShih
    @KentY last 各种尝试之后 只有最近几天的记录……

    @scriptB0y utmpdump 也没有更多结果, 查了 logrotate,里面没有设置 wtmp

    多谢!
    gowa
        6
    gowa  
       2019-12-07 14:24:18 +08:00 via Android
    日志被清了。你被挂马了
    evilhero
        7
    evilhero  
       2019-12-07 23:05:41 +08:00 via Android
    理论上取得权限后任何日志都能被清除的
    wxppkm
        8
    wxppkm  
    OP
       2019-12-08 17:17:45 +08:00
    多谢!好奇怪。同时有多台服务器有次现象,似乎是我在服务器商家的账号被入侵了?于是开启了两步认证。还得把所有的服务器都重装……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5055 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 09:22 · PVG 17:22 · LAX 01:22 · JFK 04:22
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.