Quiero eliminar todos y cada uno de los registros de actividad de SSH de forma remota. ¿Cómo llego a eso?
Mi cuenta en el servidor remoto no tiene privilegios de administrador y, como tal, solo quiero eliminar los registros de conexión de usuario a usuario.
.ssh
directorio o algo así, por ejemplo.Respuestas:
La respuesta a esto se encuentra en sshd.conf y
sshd_config
(servidor) yssh_config
(cliente). Dependiendo del nivel de registro, inicia sesión/var/log/syslog
(predeterminado) y / o/var/log/auth.log
(el nivel de registro 'detallado' contiene intentos de inicio de sesión ssh).Si está presente
/var/log/secure
también contiene un registro de acceso.Necesitará
root
/sudo
acceso para editar cualquiera de estos archivos: serán legibles pero no editables en todo el mundo.Seguido de eso. Además del inicio de sesión desde el demonio ssh, el comando
last
también muestra inicios de sesión (fallidos) desde ssh. La información para este comando proviene de/var/log/wtmp
(Habrá varios más, apuesto).Y también existe la probabilidad de que el administrador del sistema haya instalado
auditd
ologwatch
que sea prácticamente imposible ocultar la actividad, ya que podrían recibir un aviso basado en la actividad que deshace el registro de la actividad ssh imposible.Ejemplo de
/var/log/auth.log
:fuente
Te gustaría mirar
/var/log/messages
y / o/var/log/syslog
.fuente