我如何通过 SSH 删除所有以前的 SSH 活动历史记录?

我如何通过 SSH 删除所有以前的 SSH 活动历史记录?

我想远程删除 SSH 的所有活动日志。我该怎么做?

我在远程服务器上的帐户没有管理员权限,因此我只想删除用户到用户的连接记录。

答案1

答案在于sshd 配置文件sshd_config(服务器)和ssh_config(客户端)。取决于它记录到的日志级别/var/log/syslog(默认)和/或/var/log/auth.log(日志级别“详细”包含 ssh 登录尝试)。

如果存在,/var/log/secure还包含访问日志。

您将需要root/sudo访问权限来编辑这些文件中的任意一个:它们是文字可读的,但不是世界可编辑的。

接下来。除了来自 ssh 守护进程的登录之外,该命令last还显示来自 ssh 的(失败)登录。此命令的信息来自/var/log/wtmp(我敢打赌还会有更多)。

并且还有一种可能性是系统管理员安装auditdlogwatch使得隐藏活动实际上变得不可能,因为他们可以根据活动收到通知,从而取消 ssh 活动的注册。

例如/var/log/auth.log

8 月 10 日 10:10:10 rinzwind sshd[3653]: 来自 {ipadress} 的用户文本无效
8 月 10 日 10:10:10 rinzwind sshd[3653]: 文件 /var/log/btmp 的权限过多或所有权不正确
8 月 10 日 10:10:10 rinzwind sshd[3653]: 错误:无法获取 NOUSER 的影子信息
8 月 10 日 10:10:10 rinzwind sshd[3653]: 来自 {ipadress} 端口 {port} ssh2 的无效用户测试密码失败
8 月 10 日 10:10:10 rinzwind sshd[3653]: 文件 /var/log/btmp 的权限过多或所有权不正确

答案2

您可能想要看看/var/log/messages和/或/var/log/syslog

相关内容