我想远程删除 SSH 的所有活动日志。我该怎么做?
我在远程服务器上的帐户没有管理员权限,因此我只想删除用户到用户的连接记录。
答案1
答案在于sshd 配置文件和sshd_config
(服务器)和ssh_config
(客户端)。取决于它记录到的日志级别/var/log/syslog
(默认)和/或/var/log/auth.log
(日志级别“详细”包含 ssh 登录尝试)。
如果存在,/var/log/secure
还包含访问日志。
您将需要root
/sudo
访问权限来编辑这些文件中的任意一个:它们是文字可读的,但不是世界可编辑的。
接下来。除了来自 ssh 守护进程的登录之外,该命令last
还显示来自 ssh 的(失败)登录。此命令的信息来自/var/log/wtmp
(我敢打赌还会有更多)。
并且还有一种可能性是系统管理员安装auditd
或logwatch
使得隐藏活动实际上变得不可能,因为他们可以根据活动收到通知,从而取消 ssh 活动的注册。
例如/var/log/auth.log
:
8 月 10 日 10:10:10 rinzwind sshd[3653]: 来自 {ipadress} 的用户文本无效 8 月 10 日 10:10:10 rinzwind sshd[3653]: 文件 /var/log/btmp 的权限过多或所有权不正确 8 月 10 日 10:10:10 rinzwind sshd[3653]: 错误:无法获取 NOUSER 的影子信息 8 月 10 日 10:10:10 rinzwind sshd[3653]: 来自 {ipadress} 端口 {port} ssh2 的无效用户测试密码失败 8 月 10 日 10:10:10 rinzwind sshd[3653]: 文件 /var/log/btmp 的权限过多或所有权不正确
答案2
您可能想要看看/var/log/messages
和/或/var/log/syslog
。