Centos伪造登陆成功日志

我们知道，centos的登陆成功日志使用last就可以查询出来，我不断的搜索资料发现它是存在/var/log/wtmp里面我们修改这个文件就可以达到目，结果打开之后傻眼了，全是看不到的，能看到的也是几个ip，然后我们改一下ip试一下，发现改完之后last命令出来的一眼就能看懂是被改了。
其实我们还是要在这个文件上面做文章，不过不是这样改，下面我来演示一下，先last看一下我们的登陆成功日志。

然后我们清空之后，再来看一下是上面样子的

好的，登陆记录不在了。下面就需要用到我提前准备的东西了。把我准备的东西追加到这个文件里面

然后看一下效果

和第一次的对比，我们发现，最近几条记录就这样不在了。借用这个例子，让大家惊醒一下，下面开始我们今天的正题“如何记录每个用户登陆都操作了什么”其实这个很简单，上网一搜就能找到很多的脚本，我这里就价绍一个，先把脚本放出来一下，不喜勿喷。

PS1='[\u@\h \W]\$ '
history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP} dbasky.$DT"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null

我们在/etc/profile末尾加入这代码，然后保存。接下来就是测试我们的效果，新开一个连接，上去随便输入几个命令，来几个正常的，来几个不正常的，然后退出。

好，我们要开始检验我们的成果。

发现怎么这样，其实这个正常，我们不能随便来个用户都可以看到吧。所以我su成root看一下