如何检查主机登陆记录？求助

jastak

我发现我维护的系统被其他人登陆过，并开了一个ftp绑定在5w多的端口，请问如何检查其登陆和操作的记录？
这个主机的root密码有其他人知道。

哪位大虾知道吗？

japonensis

last

jastak

这台主机的last命令没有输出，   文件 /var/log/wtmp 也不存在
请问还有其他方法吗？

japonensis

看日志啊, /var/log/message

jastak

这个看过了，不过只能看到谁登陆过来过，但是看不到具体操作，用什么方法可以看到具体操作呢？

半脚离合

可以找到用户目录下的.bash_history啊

rainloftty

如何能够让history显示每个cmd的执行时间呢?
即使通过脚本或者其他方式能够实现也好啊.

寂寞烈火

/var/log/secure

rainloftty

在secure只能看到Accepted publickey for root from 218.206.*.* port 30722 ssh2,如果想着知道是哪个publickey怎么查看呢?