Rin*_*ind 18
答案在于sshd.conf和sshd_config(服务器)和ssh_config(客户端)。根据它记录的日志级别/var/log/syslog(默认)和/或/var/log/auth.log(日志级别 'verbose' 包含 ssh 登录尝试)。
如果存在,/var/log/secure还包含访问日志。
您将需要root/sudo访问权限来编辑这些文件中的任何一个:它们是文字可读的,但不可编辑。
在那旁边。除了从 ssh 守护程序登录之外,该命令last还显示(失败的)来自 ssh 的登录。这个命令的信息来自/var/log/wtmp(我打赌会有更多)。
并且系统管理员也有可能安装auditd或logwatch使其几乎不可能隐藏活动,因为他们可能会收到基于活动的通知,无法撤消 ssh 活动的注册。
示例/var/log/auth.log:
8 月 10 日 10:10:10 rinzwind sshd[3653]:来自 {ipadress} 的用户文本无效
8 月 10 日 10:10:10 rinzwind sshd[3653]:文件 /var/log/btmp 的权限过多或所有权错误
8 月 10 日 10:10:10 rinzwind sshd[3653]:错误:无法获取 NOUSER 的影子信息
8 月 10 日 10:10:10 rinzwind sshd[3653]:来自 {ipadress} 端口 {port} ssh2 的无效用户测试的密码失败
8 月 10 日 10:10:10 rinzwind sshd[3653]:文件 /var/log/btmp 的权限过多或所有权错误