@Richard, sicher, aber was verdächtiger klingt, ist, alles zu löschen, anstatt nur die Daten der aktuellen Sitzung zu löschen.
Oxwivi
1
bezüglich Update: wird nicht passieren. Wenn der Administrator sein Geld wert ist, sind alle Protokolle weltweit lesbar, können jedoch nur von dem Administrator bearbeitet werden (dh Root- oder Sudo-Berechtigungen erforderlich).
Rinzwind
@Rinzwind, wird nichts im Benutzerverzeichnis selbst gespeichert? Zum Beispiel im .sshVerzeichnis oder so.
Oxwivi
3
Die Befehle, die Sie ausgegeben haben, wenn Sie Zugriff haben, befinden sich in Ihrer Bash-Verlaufsdatei. Das ist ungefähr alles, woran ich denken kann.
Rinzwind
Antworten:
18
Die Antwort darauf liegt in sshd.conf und sshd_config(Server) und ssh_config(Client). Abhängig von der Protokollstufe wird bei /var/log/syslog(Standard) und / oder /var/log/auth.log(loglevel 'verbose' enthält SSH-Anmeldeversuche) protokolliert.
Wenn vorhanden, /var/log/secureenthält es auch ein Zugriffsprotokoll.
Sie benötigen root/ sudoZugriff, um eine dieser Dateien zu bearbeiten: Sie sind wortlesbar, aber nicht weltbearbeitbar.
Daneben. Neben der Anmeldung vom ssh-Daemon lastzeigt der Befehl auch (fehlgeschlagene) Anmeldungen von ssh an. Die Informationen für diesen Befehl stammen von /var/log/wtmp(ich wette, es werden noch einige mehr sein).
Und es besteht auch die Wahrscheinlichkeit, dass der Systemadministrator eine Aktivität installiert hat auditdoder logwatches praktisch unmöglich macht, sie auszublenden, da er aufgrund der Aktivität eine Benachrichtigung erhalten könnte, die die Registrierung der SSH-Aktivität unmöglich macht.
Beispiel für /var/log/auth.log:
10. August 10:10:10 rinzwind sshd [3653]: Ungültiger Benutzertext von {ipadress}
10. August 10:10:10 rinzwind sshd [3653]: Übermäßige Berechtigung oder fehlerhafter Besitz der Datei / var / log / btmp
10. August 10:10:10 rinzwind sshd [3653]: Fehler: Schatteninformationen für NOUSER konnten nicht abgerufen werden
10. August 10:10:10 rinzwind sshd [3653]: Passwort für ungültigen Benutzertest von {ipadress} port {port} ssh2 fehlgeschlagen
10. August 10:10:10 rinzwind sshd [3653]: Übermäßige Berechtigung oder fehlerhafter Besitz der Datei / var / log / btmp
.sshVerzeichnis oder so.Antworten:
Die Antwort darauf liegt in sshd.conf und
sshd_config(Server) undssh_config(Client). Abhängig von der Protokollstufe wird bei/var/log/syslog(Standard) und / oder/var/log/auth.log(loglevel 'verbose' enthält SSH-Anmeldeversuche) protokolliert.Wenn vorhanden,
/var/log/secureenthält es auch ein Zugriffsprotokoll.Sie benötigen
root/sudoZugriff, um eine dieser Dateien zu bearbeiten: Sie sind wortlesbar, aber nicht weltbearbeitbar.Daneben. Neben der Anmeldung vom ssh-Daemon
lastzeigt der Befehl auch (fehlgeschlagene) Anmeldungen von ssh an. Die Informationen für diesen Befehl stammen von/var/log/wtmp(ich wette, es werden noch einige mehr sein).Und es besteht auch die Wahrscheinlichkeit, dass der Systemadministrator eine Aktivität installiert hat
auditdoderlogwatches praktisch unmöglich macht, sie auszublenden, da er aufgrund der Aktivität eine Benachrichtigung erhalten könnte, die die Registrierung der SSH-Aktivität unmöglich macht.Beispiel für
/var/log/auth.log:10. August 10:10:10 rinzwind sshd [3653]: Ungültiger Benutzertext von {ipadress} 10. August 10:10:10 rinzwind sshd [3653]: Übermäßige Berechtigung oder fehlerhafter Besitz der Datei / var / log / btmp 10. August 10:10:10 rinzwind sshd [3653]: Fehler: Schatteninformationen für NOUSER konnten nicht abgerufen werden 10. August 10:10:10 rinzwind sshd [3653]: Passwort für ungültigen Benutzertest von {ipadress} port {port} ssh2 fehlgeschlagen 10. August 10:10:10 rinzwind sshd [3653]: Übermäßige Berechtigung oder fehlerhafter Besitz der Datei / var / log / btmpquelle
Sie möchten sich ansehen
/var/log/messagesund / oder/var/log/syslog.quelle