Je souhaite supprimer à distance tous les journaux d'activité pour SSH. Comment y accéder?
Mon compte sur le serveur distant ne dispose pas de privilèges d'administrateur, et en tant que tel, je souhaite simplement supprimer les enregistrements de connexion d'utilisateur à utilisateur.
.ssh
répertoire ou quelque chose, par exemple.Réponses:
La réponse à cela réside dans sshd.conf et
sshd_config
(serveur) etssh_config
(client). En fonction du niveau de journalisation, il se connecte à/var/log/syslog
(par défaut) et / ou/var/log/auth.log
(le niveau de journalisation 'verbose' contient des tentatives de connexion ssh).S'il est présent,
/var/log/secure
il contient également un journal d'accès.Vous aurez besoin de
root
/sudo
accès pour éditer l'un de ces fichiers: ils seront lisibles en mots mais pas modifiables dans le monde entier.À côté de cela. Outre la connexion depuis le démon ssh, la commande
last
affiche également les connexions (échouées) depuis ssh. Les informations pour cette commande proviennent de/var/log/wtmp
(il y en aura plusieurs autres je parie).Et il y a aussi la probabilité que le sysadmin soit installé
auditd
oulogwatch
qu'il soit pratiquement impossible de cacher une activité car ils pourraient obtenir un avis basé sur une activité annulant l'enregistrement de l'activité ssh impossible.Exemple de
/var/log/auth.log
:la source
Vous voudriez regarder
/var/log/messages
et / ou/var/log/syslog
.la source