我想遠端刪除 SSH 的所有活動日誌。我怎樣才能到達它?
我在遠端伺服器上的帳戶沒有管理員權限,因此我只想刪除使用者到使用者的連線記錄。
答案1
這個問題的答案在於sshd.conf和sshd_config(伺服器)和ssh_config(客戶端)。根據它記錄的日誌等級/var/log/syslog(預設)和/或/var/log/auth.log(日誌等級「詳細」包含 ssh 登入嘗試)。
如果存在,/var/log/secure也包含訪問日誌。
您將需要root/sudo存取權限來編輯這些文件中的任何一個:它們是文字可讀的,但不能進行全域編輯。
旁邊那個。除了從 ssh 守護程序登入之外,該命令last還顯示從 ssh 登入(失敗)。該命令的資訊來自/var/log/wtmp(我打賭還會有更多)。
而且系統管理員也有可能安裝auditd或logwatch使其幾乎不可能隱藏活動,因為他們可能會收到基於活動的通知,無法撤銷 ssh 活動的註冊。
範例/var/log/auth.log:
8 月 10 日 10:10:10 rinzwind sshd[3653]:來自 {ipadress} 的使用者文字無效
8 月 10 日 10:10:10 rinzwind sshd[3653]:檔案 /var/log/btmp 的權限過多或所有權錯誤
8 月 10 日 10:10:10 rinzwind sshd[3653]:錯誤:無法取得 NOUSER 的影子訊息
8 月 10 日 10:10:10 rinzwind sshd[3653]:來自 {ipadress} 連接埠 {port} ssh2 的無效使用者測試密碼失敗
8 月 10 日 10:10:10 rinzwind sshd[3653]:檔案 /var/log/btmp 的權限過多或所有權錯誤
答案2
你會想看看/var/log/messages和/或/var/log/syslog。