作者kadok (暗夜流星)
看板Linux
標題[問題] 如何尋找登入過後的痕跡?
時間Fri May 23 20:42:15 2008
如果我從sshd登入主機 使用帳號kadok登入
然後再su root
最後離開root時,使用history清除指令
那麼,我想問的是
一、輸入last指令,往往只能看到kadok有登入的痕跡
卻無法了解kadok 是否有su成root這個動作
二、若root離開前用history清除 是否真的無法了解做了什麼?
請指教,謝謝
--
╭ 這篇文章讓你覺得?
═════════════════════════╮
║ by ycat ║y
║ ──+ ︵ ︵ . .! ˇ ˇ ╲ ╱ ˇˇ || ◣ ◢║c
║ ̄﹀ ̄  ̄▽ ̄ ▄ ▇△▇ ≧﹏≦b  ̄︶ ̄y  ̄– ̄ 皿 ║a
║ 新奇 溫馨 誇張 難過 實用 高興 無聊 生氣 ║t
╰══════════════════════════════════ ╯
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 59.104.191.80
1F:推 chigayaptt:last 指令 或是 /var/log/wtmp 05/23 21:10
2F:→ chigayaptt:root 有最大的權限 如果知道怎麼清的話 怎麼留都沒用 05/23 21:14
3F:→ Adama:有su的話都會在/var/log/secure裡留下記錄,但做了什麼我也 05/24 20:39
4F:→ Adama:不知道怎麼查 05/24 20:39
5F:→ Adama:還是不要給別人用su吧,讓他們用sudo是最好的方式 05/24 20:40