日志的清理(删除)
从攻击者的角度,对日志的清理可以不让系统留下入侵的痕迹,保持隐身
1. 删除活动的任何日志
shred
可以删除文件并多次擦写覆盖它,这使得恢复变得更加困难
默认情况下,shred覆盖3次
- -f选项,它更改文件的权限,以便在需要更改权限时允许覆盖
- -n选项,它允许您选择覆盖文件的次数
└─# shred -f -n 10 /var/log/auth.log*
粉碎后查看:
2. 禁用日志系统—需要root权限
当黑客控制了一个系统,他们可以立即禁用日志,以防止系统跟踪他们的活动。
└─# systemctl stop rsyslog //关闭日志服务
Warning: Stopping rsyslog.service, but it can still be activated by:
syslog.socket
