Насколько я знаю, когда я использую SSH в поле, он добавит мою историю команд в нечто вроде .bash_history. Но когда я выполняю команду вроде rsync, и она выполняет удаленное SSH-соединение,
rsync -avz -e 'ssh -p1234' "/example/" mylogin@17.19.20.99:"/example/"
где это зарегистрировано?
Другим примером может быть использование клиента SFTP, который использует SSH для подключения (например, ExpandDrive) - где эти подключения регистрируются?
Уточнение: Я имею в виду вход на удаленную машину. Итак, если хакер ssh`ed к ящику и не удалил .bash_history, вы могли видеть, что он / она сделал. Но если хакер использовал вместо этого команду rsync, означает ли это, что на удаленной машине не будет записи об этом? fyi - я пытаюсь исследовать какую-то странную активность на моем сервере, и проверка журналов ничего не дает.
Спасибо!
если конкретный процесс, вызвавший эти команды, не регистрирует их, никто не будет.
AFAIK, ни у rsync, ни у ExpandDrive таких логов нет.
Некоторые приложения позволяют добавлять переключатель, например --syslog для вывода некоторой оперативной или отладочной информации в /var/log/messages или /var/log/syslog.
В ваших собственных скриптах вы можете использовать logger -- I WROTE THIS -- писать в системный журнал.
--редактировать--
--log-file=FILE log what we're doing to the specified FILE
--log-file-format=FMT log updates using the specified FMT
Приведенное выше может помочь в регистрации активности.