ログイン・ログアウトを確認するコマンドとその情報が保存されているファイルの場所

last　　  =>　　  　/var/log/wtmp　   =>　　　ログイン・ログアウトの履歴
lastb　　=>　　　/var/log/btmp 　　=>　　　ログイン失敗の履歴
lastlog 　=>　　　/var/log/lastlog 　=>　　　各ユーザの最終ログイン履歴

last/lastb/lastlogの履歴を消すには各バイナリのログファイルを空にすること。

echo > /var/log/wtmp
echo > /var/log/btmp
echo > /var/log/lastlog

システムに侵入した後に実行されるコマンドのトップ3は
w
last
history

参考
・https://www.cyber-security-risk.info/article/450610196.html