w和last命令内不显示登录痕迹

ssh -lroot 127.0.0.1 /usr/bin/bash  #登录之后直接调用bash

ssh -lroot 127.0.0.1 /usr/bin/ls   #登录之后直接调用命令

ssh -T root@127.0.0.1 /usr/bin/bash -i  # -T表示不分配伪终端 -i表示是交互式shell

查找登录痕迹

lsof -i:22 | grep EST

ps -ef | grep ssh

历史痕迹：

/var/log/secure
/var/log/auth.log