这是一个创建于 2002 天前的主题,其中的信息可能已经有所发展或是发生改变。
前提是 ubuntu 主机,默认配置。不考虑后装软件监视等。
比如对方 ssh 登录主机,拷贝了主机上一个文件到到本地,哪些地方可以记录到这个操作,例如他的 history 文件?
如果默认没有好的方法,一般是用什么工具来实现此功能?
 |
1
hanxiV2EX 2019-05-25 12:19:48 +08:00 via Android  1
/var/log/secxxxx 会有一条登录记录
|
 |
2
fox0001 2019-05-25 12:50:05 +08:00 via Android 1
last 命令可以查询登录记录
|
 |
3
yuzenan888 2019-05-25 12:52:30 +08:00
默认情况下貌似只能记录登录信息( last )。如果不打开 Shell (例如直接在 SSH 后面加上要执行的命令)的话,history 也是无法记录操作的。
|
 |
4
c4f36e5766583218 2019-05-25 14:33:28 +08:00 1
|
 |
5
oneisall8955 2019-05-25 19:22:58 +08:00 via Android
貌似登录日志里面有记录登录成功了是否,记录了时间,用户和 IP。对于操作记录( scp 下载或者 ssh 后接命令),不清楚有没有记录,知之甚少
|
 |
6
mingl0280 2019-05-26 07:46:08 +08:00 1
/var/log/sec*
/var/log/auth ~/.*sh_history 应该就这些。 |
|
7
c4f36e5766583218 2019-05-26 11:30:19 +08:00
总结一下:
```bash last tail ~/.*h_history sudo tail /var/log/auth.log sudo tail /var/log/syslog w who ``` |
|
8
c4f36e5766583218 2019-05-29 19:44:24 +08:00
last: /var/log/wtmp*
lastb: /var/log/btmp* lastlog: /var/log/lastlog* |
Select Language