我需要找出哪个用户搞砸了 ssh 配置。任何人的 bash 历史记录中都没有任何东西。但我确实在日志中看到了在特定时间开始的一堆与 ssh 相关的错误。
我想我可以通过找出当时登录的用户来缩小范围。这在 Linux 上可行吗?
(附注:这是针对班级的,其他用户是我的同学,他们在做同样的事情,我们都知道每个人都在监视我们的活动)
答案1
检查 lastlog 的输出。还请检查utmp(5)。
答案2
您可以检查/var/log/secure文件
/var/log/secure包含与身份验证和授权权限相关的信息。例如,ssh 会在此处记录所有消息,包括登录失败。