Quiero eliminar todos y cada uno de los registros de actividad de SSH de forma remota. ¿Cómo llego a eso?
Mi cuenta en el servidor remoto no tiene privilegios de administrador y, como tal, solo quiero eliminar los registros de conexión de usuario a usuario.
.sshdirectorio o algo así, por ejemplo.Respuestas:
La respuesta a esto se encuentra en sshd.conf y
sshd_config(servidor) yssh_config(cliente). Dependiendo del nivel de registro, inicia sesión/var/log/syslog(predeterminado) y / o/var/log/auth.log(el nivel de registro 'detallado' contiene intentos de inicio de sesión ssh).Si está presente
/var/log/securetambién contiene un registro de acceso.Necesitará
root/sudoacceso para editar cualquiera de estos archivos: serán legibles pero no editables en todo el mundo.Seguido de eso. Además del inicio de sesión desde el demonio ssh, el comando
lasttambién muestra inicios de sesión (fallidos) desde ssh. La información para este comando proviene de/var/log/wtmp(Habrá varios más, apuesto).Y también existe la probabilidad de que el administrador del sistema haya instalado
auditdologwatchque sea prácticamente imposible ocultar la actividad, ya que podrían recibir un aviso basado en la actividad que deshace el registro de la actividad ssh imposible.Ejemplo de
/var/log/auth.log:10 de agosto 10:10:10 rinzwind sshd [3653]: Texto de usuario no válido de {ipadress} 10 de agosto 10:10:10 rinzwind sshd [3653]: Exceso de permiso o mala propiedad en el archivo / var / log / btmp 10 de agosto 10:10:10 rinzwind sshd [3653]: error: No se pudo obtener información oculta para NOUSER 10 de agosto 10:10:10 rinzwind sshd [3653]: contraseña fallida para prueba de usuario no válida desde {ipadress} puerto {puerto} ssh2 10 de agosto 10:10:10 rinzwind sshd [3653]: Exceso de permiso o mala propiedad en el archivo / var / log / btmpfuente
Te gustaría mirar
/var/log/messagesy / o/var/log/syslog.fuente