正常登陸 Linux 以下幾個位置記錄相關日誌：

SSH登入操作相關的日誌有以下幾個位置：

• /var/log/btmp，記錄錯誤的登入嘗試，查詢命令：lastb
  /var/log/auth.log，記錄認證成功的使用者
  /var/log/secure，記錄與安全相關的日誌資訊
  /var/log/lastlog，記錄使用者上次登入資訊
  /var/log/wtmp，記錄當前和曾經登入系統的使用者資訊，查詢命令：last
  /var/run/utmp，記錄當前正在登入系統的使用者資訊，查詢命令：w
  ~/.bash_history，記錄從最開始至上一次登入所執行過的命令，查詢命令：history
  
  無法直接檢視的需要通過：

  strings /var/log/wtmp  
   
  來檢視內容

  正常日誌溯源的時候 執行

  ps -aux|grep sshd
  

  　　

  正常登陸 putty

• sshd：root@pts/0

• 使用sftp、rsyn、scp等協議進行登入

• sshd:root@notty
  　

使用notty，能夠繞過以下日誌：

/var/log/lastlog，記錄使用者上次登入資訊
/var/log/wtmp，記錄當前和曾經登入系統的使用者資訊，查詢命令：last
/var/run/utmp，記錄當前正在登入系統的使用者資訊，查詢命令：w
~/.bash_history，記錄從最開始至上一次登入所執行過的命令，查詢命令：history

防禦關注點

檢視錯誤的登入嘗試，查詢命令：lastb，檔案位置/var
 
/log/btmp
檢視認證成功的使用者，檔案位置/var/log/auth.log
檢視tcp連線，檢視命令：netstat -vatn