linux查看历史 *** 作记录

你如果没限制每个时间只有一个用户可以登录的话，那没法区分，history里只有命令，又没有命令时间，你怎么知道登录时间和这些命令的关系？只能从现在改吧。

1、提高历史记录最大值

2、建立用户区分权限，root密码回收，同时在系统上不允许root直接登录。

3、如果必须都要用root才行，那么必须用sudo命令执行，不许切换到root下。这样历史记录都存在secure里了，还有明确的时间点。

4、如果非得有人用sudo切换到root下，第一好心提醒，第二加行政和经济手段限制，第三啥都不做，哪天趁他刚登录上去，你也上去把服务器干瘫，然后清除掉自己那部分日志，再去告状：他最后一个切换到root下的，就是他干的！！

last查看最近可以的登录。由此判断那些人 *** 作过。查找该文件去向。如果是仍然保存在本地的话你可以用命令：

find

/

-name

压缩包文件名

进行查找。如果是被删除那就不好找啦。

原理主要是删除的文件并没有实际上从硬盘上抹去，只是inode索引删除了相关的信息，因此只要找到刚删除文件的block上，就可以恢复已经删除的文件。

以下方法在ext3的文件系统上测试通过，ext2的没有测试过。假设删除的文件在dir下面，位于/dev/sda5上。

主要借助debugfs

1 运行debugfs，进入调度模式

2 执行open /dev/sda5

3 执行ls -d dir 会列出此目录最近的 *** 作，其中可以看到<num>的日志删除记录

4 执行logdump -i <num>显示此日志内容

5 在输出中寻找删除文件对应的block，记录下来blockid

---