据我所知,当我通过 SSH 连接到一个机器时,它会将我的命令历史记录添加到 .bash_history 之类的文件中。但是当我执行 rsync 之类的命令并执行远程 SSH 连接时,
rsync -avz -e'ssh -p1234'“/示例/”[电子邮件保护]:“/例子/”
记录在哪儿?
另一个示例可能是使用使用 SSH 连接的 SFTP 客户端(如 expanDrive) - 这些连接记录在哪里?
澄清:我指的是登录远程机器。因此,如果黑客通过 ssh 连接到一个机器并且没有删除 .bash_history,你可以看到他/她做了什么。但如果黑客改用 rsync 命令,这是否意味着远程机器上没有记录?仅供参考 - 我正在尝试调查服务器上的一些奇怪活动,但检查日志没有发现任何结果。
谢谢!
答案1
如果调用这些命令的特定进程没有记录它们,那么就没有人会记录它们。
据我所知,rsync 和 expanDrive 都没有这样的日志。
答案2
有些应用程序让你添加一个开关,比如--syslog
将一些操作信息或者调试信息输出到/var/log/messages
或/var/log/syslog
。
您可以使用自己的脚本logger -- I WROTE THIS --
来写入系统日志。
- 编辑 -
--log-file=FILE log what we're doing to the specified FILE
--log-file-format=FMT log updates using the specified FMT
以上内容可能有助于记录活动。