@Richard, tentu saja, tetapi yang terdengar lebih mencurigakan adalah menghapus semuanya, bukan hanya menghapus data sesi saat ini.
Oxwivi
1
tentang pembaruan: tidak akan terjadi. Jika admin sepadan dengan garamnya, semua log dapat dibaca oleh dunia tetapi tidak dapat diedit oleh orang lain selain admin (mis. Diperlukan izin root atau sudo).
Rinzwind
@Rinzwind, tidak ada yang disimpan di direktori pengguna itu sendiri? Dalam .sshdirektori atau sesuatu, misalnya.
Oxwivi
3
Perintah yang Anda keluarkan ketika Anda memiliki akses akan berada di file bash history Anda. Hanya itu yang bisa saya pikirkan.
Rinzwind
Jawaban:
18
Jawabannya terletak pada sshd.conf dan sshd_config(server) dan ssh_config(klien). Bergantung pada level log yang digunakan untuk log /var/log/syslog(default) dan / atau /var/log/auth.log(loglevel 'verbose' berisi upaya login ssh).
Jika ada, /var/log/securejuga berisi log akses.
Anda akan memerlukan root/ sudoakses untuk mengedit file-file ini: mereka akan dapat dibaca kata tetapi tidak dapat diedit dunia.
Di sebelah itu. Selain login dari ssh daemon, perintah lastjuga menunjukkan (gagal) login dari ssh. Informasi untuk perintah ini berasal /var/log/wtmp(Akan ada beberapa lagi saya yakin).
Dan ada juga kemungkinan sysadmin diinstal auditdatau logwatchmembuatnya tidak mungkin untuk menyembunyikan aktivitas karena mereka bisa mendapatkan pemberitahuan berdasarkan aktivitas yang membatalkan pendaftaran aktivitas ssh mustahil.
Contoh dari /var/log/auth.log:
10 Agustus 10:10:10 rinzwind sshd [3653]: Teks pengguna tidak valid dari {ipadress}
10 Agustus 10:10:10 rinzwind sshd [3653]: Kelebihan izin atau kepemilikan yang buruk pada file / var / log / btmp
10 Agustus 10:10:10 rinzwind sshd [3653]: error: Tidak bisa mendapatkan informasi bayangan untuk NOUSER
10 Agustus 10:10:10 rinzwind sshd [3653]: Gagal kata sandi untuk tes pengguna yang tidak valid dari {ipadress} port {port} ssh2
10 Agustus 10:10:10 rinzwind sshd [3653]: Kelebihan izin atau kepemilikan yang buruk pada file / var / log / btmp
.ssh
direktori atau sesuatu, misalnya.Jawaban:
Jawabannya terletak pada sshd.conf dan
sshd_config
(server) danssh_config
(klien). Bergantung pada level log yang digunakan untuk log/var/log/syslog
(default) dan / atau/var/log/auth.log
(loglevel 'verbose' berisi upaya login ssh).Jika ada,
/var/log/secure
juga berisi log akses.Anda akan memerlukan
root
/sudo
akses untuk mengedit file-file ini: mereka akan dapat dibaca kata tetapi tidak dapat diedit dunia.Di sebelah itu. Selain login dari ssh daemon, perintah
last
juga menunjukkan (gagal) login dari ssh. Informasi untuk perintah ini berasal/var/log/wtmp
(Akan ada beberapa lagi saya yakin).Dan ada juga kemungkinan sysadmin diinstal
auditd
ataulogwatch
membuatnya tidak mungkin untuk menyembunyikan aktivitas karena mereka bisa mendapatkan pemberitahuan berdasarkan aktivitas yang membatalkan pendaftaran aktivitas ssh mustahil.Contoh dari
/var/log/auth.log
:sumber
Anda ingin melihat
/var/log/messages
dan / atau/var/log/syslog
.sumber