A resposta para isso está em sshd.conf e sshd_config
(servidor ) e ssh_config
(cliente). Dependendo do nível de log, ele registra em /var/log/syslog
(padrão) e / ou /var/log/auth.log
(loglevel 'verbose' contém tentativas de login ssh).
Se presente /var/log/secure
também contém um log de acesso.
Você precisará do root
/ sudo
access para editar qualquer um desses arquivos: eles serão legíveis, mas não editáveis pelo mundo.
Próximo a isso. Além do login do daemon ssh, o comando last
também mostra logins (com falha) de ssh. A informação para este comando vem de /var/log/wtmp
(Haverá vários mais eu aposto).
E há também a probabilidade de o sysadmin instalar auditd
ou logwatch
, tornando praticamente impossível ocultar a atividade, já que eles poderiam obter um aviso baseado na atividade desfazendo o registro da atividade do ssh, impossível.
Exemplo de /var/log/auth.log
:
Aug 10 10:10:10 rinzwind sshd[3653]: Invalid user text from {ipadress} Aug 10 10:10:10 rinzwind sshd[3653]: Excess permission or bad ownership on file /var/log/btmp Aug 10 10:10:10 rinzwind sshd[3653]: error: Could not get shadow information for NOUSER Aug 10 10:10:10 rinzwind sshd[3653]: Failed password for invalid user test from {ipadress} port {port} ssh2 Aug 10 10:10:10 rinzwind sshd[3653]: Excess permission or bad ownership on file /var/log/btmp