Comment puis-je SSH et supprimer tout l'historique d'activité SSH précédent?

8

Je souhaite supprimer à distance tous les journaux d'activité pour SSH. Comment y accéder?

Mon compte sur le serveur distant ne dispose pas de privilèges d'administrateur, et en tant que tel, je souhaite simplement supprimer les enregistrements de connexion d'utilisateur à utilisateur.

Oxwivi
la source
24
Cela semble suspect. :)
Richard Holloway
1
@Richard, bien sûr, mais ce qui semble plus suspect, c'est de tout supprimer plutôt que de simplement supprimer les données de la session en cours.
Oxwivi
1
concernant la mise à jour: ne va pas se produire. Si l'administrateur vaut son sel, tous les journaux sont lisibles dans le monde entier mais ne peuvent être modifiés par personne d'autre que l'administrateur (c'est-à-dire des autorisations root ou sudo requises).
Rinzwind
@Rinzwind, rien n'est enregistré dans le répertoire utilisateur lui-même? Dans le .sshrépertoire ou quelque chose, par exemple.
Oxwivi
3
Les commandes que vous avez émises lorsque vous y avez accès seront dans votre fichier d'historique bash. C'est à peu près tout ce à quoi je peux penser.
Rinzwind

Réponses:

18

La réponse à cela réside dans sshd.conf et sshd_config(serveur) et ssh_config(client). En fonction du niveau de journalisation, il se connecte à /var/log/syslog(par défaut) et / ou /var/log/auth.log(le niveau de journalisation 'verbose' contient des tentatives de connexion ssh).

S'il est présent, /var/log/secureil contient également un journal d'accès.

Vous aurez besoin de root/ sudoaccès pour éditer l'un de ces fichiers: ils seront lisibles en mots mais pas modifiables dans le monde entier.

À côté de cela. Outre la connexion depuis le démon ssh, la commande lastaffiche également les connexions (échouées) depuis ssh. Les informations pour cette commande proviennent de /var/log/wtmp(il y en aura plusieurs autres je parie).

Et il y a aussi la probabilité que le sysadmin soit installé auditdou logwatchqu'il soit pratiquement impossible de cacher une activité car ils pourraient obtenir un avis basé sur une activité annulant l'enregistrement de l'activité ssh impossible.

Exemple de /var/log/auth.log:

10 août 10:10:10 rinzwind sshd [3653]: Texte utilisateur non valide de {ipadress}
10 août 10:10:10 rinzwind sshd [3653]: autorisation excessive ou mauvaise propriété sur le fichier / var / log / btmp
10 août 10:10:10 rinzwind sshd [3653]: erreur: impossible d'obtenir des informations d'ombre pour NOUSER
10 août 10:10:10 rinzwind sshd [3653]: Échec du mot de passe pour un test utilisateur non valide du {ipadress} port {port} ssh2
10 août 10:10:10 rinzwind sshd [3653]: autorisation excessive ou mauvaise propriété sur le fichier / var / log / btmp
Rinzwind
la source
Question mise à jour.
Oxwivi
Soit dit en passant, quel type de données est enregistré lors de la connexion SSH? Adresse IP à coup sûr, mais quoi d'autre?
Oxwivi
Aucun nom d'utilisateur enregistré?
Oxwivi
1

Vous voudriez regarder /var/log/messageset / ou /var/log/syslog.

Justin Andrusk
la source