Я хочу удаленно удалить все журналы активности для SSH. Как мне добраться до этого?
Моя учетная запись на удаленном сервере не имеет прав администратора, и поэтому я просто хочу удалить записи подключения пользователя к пользователю.
8
.sshкаталоге или что-то, например.Ответы:
Ответ на это лежит в sshd.conf и
sshd_config(сервер) иssh_config(клиент). В зависимости от уровня журнала он регистрируется в/var/log/syslog(по умолчанию) и / или/var/log/auth.log(уровень логирования 'verbose' содержит попытки входа в систему через ssh).При наличии
/var/log/secureтакже содержит журнал доступа.Вам понадобится
root/sudoдоступ для редактирования любого из этих файлов: они будут читабельными, но не редактируемыми.Рядом с этим. Помимо входа в систему из демона ssh команда
lastтакже показывает (не удалось) вход в систему из ssh. Информация для этой команды взята из/var/log/wtmp(Бьюсь об заклад, будет еще несколько).И есть также вероятность того, что сисадмин установил
auditdилиlogwatchделает практически невозможным скрыть активность, так как он может получить уведомление на основании действия, отменяющего регистрацию активности ssh.Пример
/var/log/auth.log:10 августа 10:10:10 rinzwind sshd [3653]: неверный текст пользователя из {ipadress} 10 августа 10:10:10 rinzwind sshd [3653]: Превышение прав доступа или неправильное владение файлом / var / log / btmp 10 августа 10:10:10 rinzwind sshd [3653]: ошибка: не удалось получить теневую информацию для NOUSER 10 августа 10:10:10 rinzwind sshd [3653]: сбой пароля для неверного пользовательского теста с порта {ipadress} port {port} ssh2 10 августа 10:10:10 rinzwind sshd [3653]: Превышение прав доступа или неправильное владение файлом / var / log / btmpисточник
Вы хотели бы посмотреть
/var/log/messagesи / или/var/log/syslog.источник