Je souhaite supprimer à distance tous les journaux d'activité pour SSH. Comment y accéder?
Mon compte sur le serveur distant ne dispose pas de privilèges d'administrateur, et en tant que tel, je souhaite simplement supprimer les enregistrements de connexion d'utilisateur à utilisateur.
.sshrépertoire ou quelque chose, par exemple.Réponses:
La réponse à cela réside dans sshd.conf et
sshd_config(serveur) etssh_config(client). En fonction du niveau de journalisation, il se connecte à/var/log/syslog(par défaut) et / ou/var/log/auth.log(le niveau de journalisation 'verbose' contient des tentatives de connexion ssh).S'il est présent,
/var/log/secureil contient également un journal d'accès.Vous aurez besoin de
root/sudoaccès pour éditer l'un de ces fichiers: ils seront lisibles en mots mais pas modifiables dans le monde entier.À côté de cela. Outre la connexion depuis le démon ssh, la commande
lastaffiche également les connexions (échouées) depuis ssh. Les informations pour cette commande proviennent de/var/log/wtmp(il y en aura plusieurs autres je parie).Et il y a aussi la probabilité que le sysadmin soit installé
auditdoulogwatchqu'il soit pratiquement impossible de cacher une activité car ils pourraient obtenir un avis basé sur une activité annulant l'enregistrement de l'activité ssh impossible.Exemple de
/var/log/auth.log:10 août 10:10:10 rinzwind sshd [3653]: Texte utilisateur non valide de {ipadress} 10 août 10:10:10 rinzwind sshd [3653]: autorisation excessive ou mauvaise propriété sur le fichier / var / log / btmp 10 août 10:10:10 rinzwind sshd [3653]: erreur: impossible d'obtenir des informations d'ombre pour NOUSER 10 août 10:10:10 rinzwind sshd [3653]: Échec du mot de passe pour un test utilisateur non valide du {ipadress} port {port} ssh2 10 août 10:10:10 rinzwind sshd [3653]: autorisation excessive ou mauvaise propriété sur le fichier / var / log / btmpla source
Vous voudriez regarder
/var/log/messageset / ou/var/log/syslog.la source