Ich möchte sämtliche Aktivitätsprotokolle für SSH remote entfernen. Wie komme ich daran?
Mein Konto auf dem Remote-Server verfügt nicht über Administratorrechte und daher möchte ich lediglich die Verbindungsaufzeichnungen zwischen Benutzern entfernen.
Antwort1
Die Antwort darauf liegt insshd.confund sshd_config(Server) und ssh_config(Client). Abhängig von der Protokollebene wird in /var/log/syslog(Standard) und/oder /var/log/auth.log(Protokollebene „verbose“ enthält SSH-Anmeldeversuche) protokolliert.
Falls vorhanden, /var/log/secureenthält es auch ein Zugriffsprotokoll.
Zum Bearbeiten dieser Dateien benötigen Sie root/ -Zugriff: Sie sind für Word lesbar, aber nicht für alle Benutzer bearbeitbar.sudo
Daneben. Neben dem Login vom SSH-Daemon lastzeigt der Befehl auch (fehlgeschlagene) Logins von SSH an. Die Informationen zu diesem Befehl stammen von /var/log/wtmp(Ich wette, es wird noch mehrere geben).
Und es besteht auch die Wahrscheinlichkeit, dass der Systemadministrator die Aktivität installiert auditdoder logwatches praktisch unmöglich macht, sie zu verbergen, da er aufgrund der Aktivität eine Benachrichtigung erhalten könnte, die die Registrierung der SSH-Aktivität unmöglich macht.
Beispiel von /var/log/auth.log:
Aug 10 10:10:10 rinzwind sshd[3653]: Ungültiger Benutzertext von {ipadress}
Aug 10 10:10:10 rinzwind sshd[3653]: Übermäßige Berechtigung oder falscher Besitz der Datei /var/log/btmp
Aug 10 10:10:10 rinzwind sshd[3653]: Fehler: Schatteninformationen für NOUSER konnten nicht abgerufen werden
Aug 10 10:10:10 rinzwind sshd[3653]: Fehlgeschlagenes Passwort für ungültigen Benutzertest von {ipadress} Port {port} ssh2
Aug 10 10:10:10 rinzwind sshd[3653]: Übermäßige Berechtigung oder falscher Besitz der Datei /var/log/btmp
Antwort2
Sie möchten sich /var/log/messagesund/oder ansehen /var/log/syslog.