我一直在尝试编写一个程序来在一个 ssh 连接期间执行许多命令。
我当前的方法是(1)创建SSH连接; (2) 在需要时创建 SSH 命令隧道/通道; (3)关闭SSH连接。
正如预期的那样,我在 /var/log/secure 中只看到两个条目,对应于 ssh 打开和关闭事件。
我的问题是 /var/log/wtmp 中有很多条目,对应于登录和注销事件。
您能否在记录 SSH 连接的情况下帮助评论一下这两个文件之间的关系?
任何见解表示赞赏!如果术语不恰当,给您带来麻烦,敬请谅解!
答案1
/var/log/secure跟踪身份验证事件中的日志条目。每当您打开 SSH 连接时都会发生身份验证事件。这些条目还可能出现在/var/log/auth.log、/var/log/syslog、/var/log/daemon.log和/var/log/messages其他文本模式日志文件中,这些文件可能存在,具体取决于系统配置;不同的发行版在这方面有不同的默认值。
当您通过现有 SSH 连接执行某些操作(包括打开隧道或从属连接)时,不需要任何身份验证步骤。因此,在 中没有对此进行记录/var/log/secure。
条目/var/log/wtmp(和utmp)记录终端的创建和销毁,或者终端对用户的分配和释放。因此他们只跟踪交互式会话。在某些设置中,终端模拟器对终端的每次创建都会记录在那里。当且仅当 SSH 连接创建终端时(即,如果您不传递命令并因此获得交互式 shell,或者如果您运行ssh -t),则会触发登录 utmp 和 wtmp。