Я хочу удалить любого и все журналы операций для SSH удаленно. Как я добираюсь до него?
Моя учетная запись на удаленном сервере не имеет административной привилегии, и как таковой, я просто хочу удалить пользователя к записям пользовательского соединения.
Ответ на это заключается в sshd.conf и sshd_config
(сервер) и ssh_config
(клиент). В зависимости от уровня журнала это регистрируется к /var/log/syslog
(значение по умолчанию) и/или /var/log/auth.log
(loglevel 'подробный' содержит попытки входа в систему ssh).
Если существующий /var/log/secure
также содержит журнал доступа.
Вам будет нужно root
/sudo
доступ для редактирования любого из этих файлов: они будут читаемыми словом, но не мировыми доступными для редактирования.
Рядом с этим. Помимо входа в систему от ssh демона команда last
также шоу (привели логины к сбою) от ssh. Информация для этой команды прибывает из /var/log/wtmp
(Будут еще несколько, я держал пари).
И существует также вероятность, которую установил системный администратор auditd
или logwatch
создание его практически невозможный скрыть действие, так как они могли получить уведомление на основе действия, отменяющего регистрацию ssh невозможного действия.
Пример /var/log/auth.log
:
Aug 10 10:10:10 rinzwind sshd[3653]: Invalid user text from {ipadress} Aug 10 10:10:10 rinzwind sshd[3653]: Excess permission or bad ownership on file /var/log/btmp Aug 10 10:10:10 rinzwind sshd[3653]: error: Could not get shadow information for NOUSER Aug 10 10:10:10 rinzwind sshd[3653]: Failed password for invalid user test from {ipadress} port {port} ssh2 Aug 10 10:10:10 rinzwind sshd[3653]: Excess permission or bad ownership on file /var/log/btmp
Вы хотели бы посмотреть на /var/log/messages
и/или /var/log/syslog
.