centos伪造登陆成功日志

我们都知道，centos的登陆成功日志使用last就可以查询出来

我不断的搜索资料发现它是存在/var/log/wtmp里面的，然后就想到，我们是不是修改这个文件就可以达到目的呢？

结果打开之后傻眼了，全是看不到的，能看到的也是几个ip，然后我们改一下ip试一下，发现改完之后last命令出来的一眼就能看懂是被改了。

其实我们还是要在这个文件上面做文章，不过不是这样改，下面我来演示一下，先last看一下我们的登陆成功日志

然后我们清空之后，再来看一下是上面样子的

好的，登陆记录不在了。下面就需要用到我提前准备的东西了。把我准备的东西追加到这个文件里面

然后看一下效果

和第一次的对比，我们发现，最近几条记录就这样不在了。

看完这个，是不是觉得很好玩，也很无奈。我好不好的记录就这样不在了。

借用这个例子，让大家惊醒一下，下面开始我们今天的正题“如何记录每个用户登陆都操作了什么”

其实这个很简单，上网一搜就能找到很多的脚本，我这里就价绍一个，先把脚本放出来一下，不喜勿喷，就将就看一看把，若是有改进意见，欢迎发邮件交流964482584@qq.com

PS1='[\u@\h \W]\$ '

history

USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`

if [ "$USER_IP" = "" ]

then

USER_IP=`hostname`

fi

if [ ! -d /tmp/dbasky ]

then

mkdir /tmp/dbasky

chmod 777 /tmp/dbasky

fi

if [ ! -d /tmp/dbasky/${LOGNAME} ]

then

mkdir /tmp/dbasky/${LOGNAME}

chmod 300 /tmp/dbasky/${LOGNAME}

fi

export HISTSIZE=4096

DT=`date "+%Y-%m-%d_%H:%M:%S"`

export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT"

chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null

我们在/etc/profile末尾加入这代码，然后保存。

接下来就是测试我们的效果如何了

新开一个连接，上去随便输入几个命令，来几个正常的，来几个不正常的。然后退出

好了，我们要开始检验我们的成果了。

发现怎么这样了，其实这个正常，我们不能随便来个用户都可以看到吧。所以我su成root看一下

好了，大功告成。