¿Cómo hago SSH y elimino todo el historial de actividad SSH anterior?

8

Quiero eliminar todos y cada uno de los registros de actividad de SSH de forma remota. ¿Cómo llego a eso?

Mi cuenta en el servidor remoto no tiene privilegios de administrador y, como tal, solo quiero eliminar los registros de conexión de usuario a usuario.

Oxwivi
fuente
24
Esto suena sospechoso. :)
Richard Holloway
1
@ Richard, claro que sí, pero lo que parece más sospechoso es eliminar todo en lugar de simplemente eliminar los datos de la sesión actual.
Oxwivi
1
con respecto a la actualización: no va a suceder. Si el administrador vale la pena, todos los registros son legibles en todo el mundo pero no pueden ser editados por nadie más que el administrador (es decir, se requieren permisos de root o sudo).
Rinzwind
@Rinzwind, ¿no se guarda nada en el directorio del usuario? En el .sshdirectorio o algo así, por ejemplo.
Oxwivi
3
Los comandos que emitió cuando tiene acceso estarán en su archivo de historial de bash. Eso es todo lo que puedo pensar.
Rinzwind

Respuestas:

18

La respuesta a esto se encuentra en sshd.conf y sshd_config(servidor) y ssh_config(cliente). Dependiendo del nivel de registro, inicia sesión /var/log/syslog(predeterminado) y / o /var/log/auth.log(el nivel de registro 'detallado' contiene intentos de inicio de sesión ssh).

Si está presente /var/log/securetambién contiene un registro de acceso.

Necesitará root/ sudoacceso para editar cualquiera de estos archivos: serán legibles pero no editables en todo el mundo.

Seguido de eso. Además del inicio de sesión desde el demonio ssh, el comando lasttambién muestra inicios de sesión (fallidos) desde ssh. La información para este comando proviene de /var/log/wtmp(Habrá varios más, apuesto).

Y también existe la probabilidad de que el administrador del sistema haya instalado auditdo logwatchque sea prácticamente imposible ocultar la actividad, ya que podrían recibir un aviso basado en la actividad que deshace el registro de la actividad ssh imposible.

Ejemplo de /var/log/auth.log:

10 de agosto 10:10:10 rinzwind sshd [3653]: Texto de usuario no válido de {ipadress}
10 de agosto 10:10:10 rinzwind sshd [3653]: Exceso de permiso o mala propiedad en el archivo / var / log / btmp
10 de agosto 10:10:10 rinzwind sshd [3653]: error: No se pudo obtener información oculta para NOUSER
10 de agosto 10:10:10 rinzwind sshd [3653]: contraseña fallida para prueba de usuario no válida desde {ipadress} puerto {puerto} ssh2
10 de agosto 10:10:10 rinzwind sshd [3653]: Exceso de permiso o mala propiedad en el archivo / var / log / btmp
Rinzwind
fuente
Pregunta actualizada
Oxwivi
Por cierto, ¿qué tipo de datos se registran cuando se realiza la conexión SSH? Dirección IP con seguridad, pero ¿qué más?
Oxwivi
¿Ningún nombre de usuario registrado?
Oxwivi
1

Te gustaría mirar /var/log/messagesy / o /var/log/syslog.

Justin Andrusk
fuente