Linux系统中清除和隐藏日志的方法总结

1. 清除历史命令

首先，我们可以通过编辑历史命令文件来删除不想保存的记录。使用vim编辑器打开/root/.bash_history文件，并删除其中的命令记录。另外，如果需要清除当前用户的全部历史命令记录（不建议），可以使用history -c命令。

2. 在vim中执行清除命令

在vim编辑器中执行系统命令不会被记录到历史记录中。通过以下步骤来实现：

1. 查看vim的操作历史：:history
2. 清零vim操作记录：:set history=0
3. 执行系统命令（例如：:!pwd）

另外，在vim中可以使用分屏功能打开历史命令文件进行清理。

3. 列出系统日志文件

Linux系统中有多个重要的日志文件，包括：

• /var/log/btmp：记录所有登录失败信息，可以使用lastb命令查看。
• /var/log/lastlog：记录系统中所有用户最后一次登录时间的日志，可以使用lastlog命令查看。
• /var/log/wtmp：记录所有用户的登录和注销信息，可以使用last命令查看。
• /var/log/utmp：记录当前已经登录的用户信息，可以使用w、who、users等命令查看。
• /var/log/secure：记录与安全相关的日志信息。
• /var/log/message：记录系统启动后的信息和错误日志。

清理登录系统失败的记录可以使用以下命令：echo > /var/log/wtmp，再次查看上次登录信息可以使用lastb命令。还可以使用类似的方式清除其他相关日志信息。

4. 删除/替换部分日志

使用sed命令可以删除或替换部分日志。例如，我们可以使用以下命令来删除/var/log/messages中所有匹配特定字符串的行（比如当天日期或登录IP）：sed -i '/自己的ip/'d /var/log/messages。全局替换登录IP地址可以使用类似的方式：sed -i 's/192.168.166.85/192.168.1.1/g' secure。

此外，还可以使用grep命令排除某些字段，并将修改后的结果保存到临时文件，然后覆盖原日志文件的内容。

5. 隐藏远程SSH登录记录

通过执行隐身登录命令，我们可以在系统中隐藏SSH登录记录，使其不被w、who、last等指令检测到。具体步骤如下：

1. 隐身登录系统：ssh -T root@192.168.0.1 /bin/bash -i。
2. 要发现隐藏的登录，可以使用ps -ef | grep ssh或者lsof -i:22来查看进程信息。

另外，还可以使用一些其他选项，在SSH登录时不将公钥记录在本地.ssh目录中。

总结

本文介绍了在Linux系统中清除和隐藏日志的方法。通过清除历史命令、在vim中执行清除命令、列出系统日志文件、删除/替换部分日志以及隐藏远程SSH登录记录等操作，用户可以保护隐私并减少留下痕踪的可能性。这些方法可以在需要保护敏感信息或隐私的情况下发挥作用。