我的一台服务器运行了一个月，last 得到的登录记录只有最近几天的，是否有安全风险呢？

history 看历史命令似乎一切正常。

多谢！

你指的风险是什么?
有人登录你的服务器然后你不知道? 还是什么

另外你看看 last 的 man page 我记得很多选项可以看从某一时间以来的记录. since 还是什么的

last -a

last 其实读的是 /tmp/wtmp 文件，你也可以用 utmpdump 去看
$ utmpdump /var/log/wtmp
要是这个文件没有保存全的话，看下有没有 logrotate 之类的配置把这个文件截断了

是的，我是外行，网上看到说有可能别人登录之后删除登录日志，于是 last 看了一下，有几台服务器还真没有几条记录（远少于我实际登录的次数），只有最近几次的。担心别人登录了而我不知道。不过 history 看命令没有异常，从最初到现在的都在。

last 各种尝试之后 只有最近几天的记录……
utmpdump 也没有更多结果， 查了 logrotate，里面没有设置 wtmp
多谢！

日志被清了。你被挂马了

理论上取得权限后任何日志都能被清除的

多谢！好奇怪。同时有多台服务器有次现象，似乎是我在服务器商家的账号被入侵了？于是开启了两步认证。还得把所有的服务器都重装……