Ответ на это лежит в sshd.conf и sshd_config
(сервер) и ssh_config
(клиент). В зависимости от уровня журнала он регистрируется в /var/log/syslog
(по умолчанию) и / или /var/log/auth.log
(уровень логирования 'verbose' содержит попытки входа в систему через ssh).
При наличии /var/log/secure
также содержит журнал доступа.
Вам понадобится root
/ sudo
доступ для редактирования любого из этих файлов: они будут читабельными, но не редактируемыми.
Рядом с этим. Помимо входа в систему из демона ssh команда last
также показывает (не удалось) вход в систему из ssh. Информация для этой команды взята из /var/log/wtmp
(Бьюсь об заклад, будет еще несколько).
И есть также вероятность того, что сисадмин установил auditd
или logwatch
делает практически невозможным скрыть активность, так как он может получить уведомление на основании действия, отменяющего регистрацию активности ssh.
Пример /var/log/auth.log
:
10 августа 10:10:10 rinzwind sshd [3653]: неверный текст пользователя из {ipadress}
10 августа 10:10:10 rinzwind sshd [3653]: Превышение прав доступа или неправильное владение файлом / var / log / btmp
10 августа 10:10:10 rinzwind sshd [3653]: ошибка: не удалось получить теневую информацию для NOUSER
10 августа 10:10:10 rinzwind sshd [3653]: сбой пароля для неверного пользовательского теста с порта {ipadress} port {port} ssh2
10 августа 10:10:10 rinzwind sshd [3653]: Превышение прав доступа или неправильное владение файлом / var / log / btmp