Я хочу удалить все журналы активности SSH удаленно. Как мне это сделать?
Моя учетная запись на удаленном сервере не имеет прав администратора, и поэтому я просто хочу удалить записи о соединениях между пользователями.
решение1
Ответ на этот вопрос кроется вsshd.confи sshd_config(сервер) и ssh_config(клиент). В зависимости от уровня журнала он регистрируется в /var/log/syslog(по умолчанию) и/или /var/log/auth.log(уровень журнала 'verbose' содержит попытки входа по ssh).
Если присутствует, /var/log/secureтакже содержит журнал доступа.
Для редактирования любого из этих файлов вам понадобится доступ с правами root/ sudo: они будут доступны для чтения, но не для редактирования всем желающим.
Далее. Помимо входа из ssh daemon команда lastтакже показывает (неудачные) входы из ssh. Информация для этой команды взята из /var/log/wtmp(Будет еще несколько, я думаю).
И есть также вероятность, что системный администратор установил auditdили logwatchсделал практически невозможным скрытие активности, поскольку он может получить уведомление на основе активности, что сделает отмену регистрации активности SSH невозможной.
Пример /var/log/auth.log:
10 авг 10:10:10 rinzwind sshd[3653]: Неверный текст пользователя от {ipadress}
10 авг 10:10:10 rinzwind sshd[3653]: Избыточные права или неверное владение файлом /var/log/btmp
10 авг. 10:10:10 rinzwind sshd[3653]: ошибка: Не удалось получить информацию о тени для NOUSER
10 авг 10:10:10 rinzwind sshd[3653]: Не удалось проверить пароль для недействительного пользователя с {ipadress} порта {port} ssh2
10 авг 10:10:10 rinzwind sshd[3653]: Избыточные права или неверное владение файлом /var/log/btmp
решение2
Вам следует обратить внимание на /var/log/messagesи/или /var/log/syslog.