Como faço para o SSH e removo todo o histórico de atividade anterior do SSH?

6

Desejo remover todo e qualquer log de atividades do SSH remotamente. Como chego a isso?

Minha conta no servidor remoto não tem privilégio de administrador e, como tal, eu só quero remover registros de conexão de usuário para usuário.

    
por Oxwivi 18.08.2011 / 14:21

2 respostas

14

A resposta para isso está em sshd.conf e sshd_config (servidor ) e ssh_config (cliente). Dependendo do nível de log, ele registra em /var/log/syslog (padrão) e / ou /var/log/auth.log (loglevel 'verbose' contém tentativas de login ssh).

Se presente /var/log/secure também contém um log de acesso.

Você precisará do root / sudo access para editar qualquer um desses arquivos: eles serão legíveis, mas não editáveis pelo mundo.

Próximo a isso. Além do login do daemon ssh, o comando last também mostra logins (com falha) de ssh. A informação para este comando vem de /var/log/wtmp (Haverá vários mais eu aposto).

E há também a probabilidade de o sysadmin instalar auditd ou logwatch , tornando praticamente impossível ocultar a atividade, já que eles poderiam obter um aviso baseado na atividade desfazendo o registro da atividade do ssh, impossível.

Exemplo de /var/log/auth.log :

Aug 10 10:10:10 rinzwind sshd[3653]: Invalid user text from {ipadress}
Aug 10 10:10:10 rinzwind sshd[3653]: Excess permission or bad ownership on file /var/log/btmp
Aug 10 10:10:10 rinzwind sshd[3653]: error: Could not get shadow information for NOUSER
Aug 10 10:10:10 rinzwind sshd[3653]: Failed password for invalid user test from {ipadress} port {port} ssh2
Aug 10 10:10:10 rinzwind sshd[3653]: Excess permission or bad ownership on file /var/log/btmp
    
por Rinzwind 18.08.2011 / 16:27
0

Você gostaria de ver /var/log/messages e / ou /var/log/syslog .

    
por Justin Andrusk 18.08.2011 / 15:46

Tags