last命令一般可用来打印用户登录linux成功的记录，lastb命令一般可用来打印登录linux失败的记录，但如何清除这些记录对应的文件内容呢？

一.清除last对应的文件内容

echo > /var/log/wtmp

last记录已经清空

二.清除lastb对应的文件内容

echo > /var/log/btmp

lastb记录已经清空

linux下/var/log下存放都是系统中各种程序默认保存的日志文件，/var/log/wtmp和/var/log/btmp其中是日志记录文件，而last和lastb读取的就是这些文件.

last登录日志不是明文日志，很难伪造，只有被清空才能隐藏痕迹。但是直接清空的后果就是，管理员会发现异常，因为last不可能是空的。

0x01 查看登录日志
命令 日志文件路径 功能
last /var/log/wtmp 所有成功登录/登出的历史记录
lastb /var/log/btmp 登录失败记录
lastlog /var/log/lastlog 最近登录记录
0x02 清空记录
因为last等日志是二进制文件，无法直接修改。

所以最简单的方法是清空日志文件本身

echo > /var/log/wtmp

echo > /var/log/btmp

echo > /var/log/lastlog

查看和清空lastb日志 需要root权限