关于linux日志的问题

关于linux日志的问题

不管是ssh还是通过反弹等等获得的终端都是有log,所以我们在获得终端后第一件事就是尽可能的不记录日志,一般我们都会执行以下三条命令:HISTFILE=/dev/null、HISTFILESIZE=0、HISTSIZE=0(我一般反弹都是用python的脚本,自带pty模块,内置了unsetenv(),所以可以不执行),但是如果在终端里ssh其他机器的话,就会有另外的log出现,wtmp、lastlog等等出现, 如果不清楚的话,别人last下就可以发现,而且管理员在ssh登录的时候也会上次登录的详细信息,所以在登录ssh的时候要清楚wtmp、 lastlog,这个需要借助额外程序,如果sed的话,太麻烦,而且不彻底.
国内已经有人写了logtamper,可以删除(或隐藏)lastlog、wtmp等信息.
我之前在一个内网里没清楚wtmp、lastlog等记录,结果我就悲剧了,管理员直接iptables -A了几下,我就跟内网说再见了.
在和朋友聊的时候,他也是没清lastlog、wtmp等记录,管理员同样iptables -A了几下,他也跟内网说再见了.
然后也讨论了下,他要重新设计RT,隐藏端口、隐藏连接信息、隐藏文件这些就不说了,我让他把ssh、ftp、telnet登入和登出的信息记录下来,还特意跟他说把logtamper的功能进去,如果通过RT连的话,自动清wtmp和lastlog等记录.
还有一些管理员会做wget记录,即使你执行HISTFILE=/dev/null之类的命令,还是会把wget记录下来,这个也要注意