Как мне SSH и удалить всю предыдущую историю активности SSH?


8

Я хочу удаленно удалить все журналы активности для SSH. Как мне добраться до этого?

Моя учетная запись на удаленном сервере не имеет прав администратора, и поэтому я просто хочу удалить записи подключения пользователя к пользователю.


24
Это звучит подозрительно. :)
Ричард Холлоуэй

1
@Richard, конечно, так и есть, но более подозрительным является удаление всего, а не просто удаление данных текущего сеанса.
Oxwivi

1
по поводу обновления: не произойдет. Если администратор того стоит, все журналы доступны для чтения всем, но не могут редактироваться кем-либо, кроме администратора (т.е. требуются разрешения root или sudo).
Ринзвинд

@Rinzwind, ничего не сохраняется в самом каталоге пользователя? В .sshкаталоге или что-то, например.
Oxwivi

3
Команды, которые вы дали, когда у вас есть доступ, будут в вашем файле истории bash. Это обо всем, что я могу придумать.
Rinzwind

Ответы:


18

Ответ на это лежит в sshd.conf и sshd_config(сервер) и ssh_config(клиент). В зависимости от уровня журнала он регистрируется в /var/log/syslog(по умолчанию) и / или /var/log/auth.log(уровень логирования 'verbose' содержит попытки входа в систему через ssh).

При наличии /var/log/secureтакже содержит журнал доступа.

Вам понадобится root/ sudoдоступ для редактирования любого из этих файлов: они будут читабельными, но не редактируемыми.

Рядом с этим. Помимо входа в систему из демона ssh команда lastтакже показывает (не удалось) вход в систему из ssh. Информация для этой команды взята из /var/log/wtmp(Бьюсь об заклад, будет еще несколько).

И есть также вероятность того, что сисадмин установил auditdили logwatchделает практически невозможным скрыть активность, так как он может получить уведомление на основании действия, отменяющего регистрацию активности ssh.

Пример /var/log/auth.log:

10 августа 10:10:10 rinzwind sshd [3653]: неверный текст пользователя из {ipadress}
10 августа 10:10:10 rinzwind sshd [3653]: Превышение прав доступа или неправильное владение файлом / var / log / btmp
10 августа 10:10:10 rinzwind sshd [3653]: ошибка: не удалось получить теневую информацию для NOUSER
10 августа 10:10:10 rinzwind sshd [3653]: сбой пароля для неверного пользовательского теста с порта {ipadress} port {port} ssh2
10 августа 10:10:10 rinzwind sshd [3653]: Превышение прав доступа или неправильное владение файлом / var / log / btmp

Обновленный вопрос.
Oxwivi

Кстати, какие именно данные регистрируются при SSH-соединении? IP-адрес точно, но что еще?
Oxwivi

Имя пользователя не записано?
Oxwivi

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.