Quiero eliminar todos y cada uno de los registros de actividad de SSH de forma remota. ¿Cómo llego a él?
Mi cuenta en el servidor remoto no tiene privilegios de administrador y, como tal, solo quiero eliminar los registros de conexión de usuario a usuario.
Respuesta1
La respuesta a esto radica ensshd.confy sshd_config(servidor) y ssh_config(cliente). Dependiendo del nivel de registro en el que se registra /var/log/syslog(predeterminado) y/o /var/log/auth.log(el nivel de registro 'detallado' contiene intentos de inicio de sesión ssh).
Si está presente, /var/log/securetambién contiene un registro de acceso.
Necesitará root/ sudoacceso para editar cualquiera de estos archivos: serán legibles en palabras pero no editables en todo el mundo.
Seguido de eso. Además del inicio de sesión desde el demonio ssh, el comando lasttambién muestra los inicios de sesión (fallidos) desde ssh. La información para este comando proviene de /var/log/wtmp(apuesto que habrá varios más).
Y también existe la probabilidad de que el administrador del sistema haya instalado auditdo logwatchhecho prácticamente imposible ocultar la actividad, ya que podría recibir un aviso basado en la actividad que deshaga el registro de la actividad ssh.
Ejemplo de /var/log/auth.log:
10 de agosto 10:10:10 rinzwind sshd[3653]: Texto de usuario no válido de {ipadress}
10 de agosto 10:10:10 rinzwind sshd[3653]: exceso de permiso o mala propiedad en el archivo /var/log/btmp
10 de agosto 10:10:10 rinzwind sshd[3653]: error: no se pudo obtener información oculta para NOUSER
10 de agosto 10:10:10 rinzwind sshd[3653]: Contraseña fallida para prueba de usuario no válida desde {ipadress} puerto {port} ssh2
10 de agosto 10:10:10 rinzwind sshd[3653]: exceso de permiso o mala propiedad en el archivo /var/log/btmp
Respuesta2
Querrás mirar /var/log/messagesy/o /var/log/syslog.