Удаленные авторизованные ключи из .ssh - Как узнать, входил ли кто-то в систему с этими ключами недавно?
Я ' m делаю некоторую очистку на одном из моих серверов, и у меня есть куча ключей в моих .ssh / authorized_keys
Проблема в том, что я хочу удалить их, но я не уверен, что они все еще используются. Есть ли способ узнать, какие ключи использовались в последнее время? Я хочу удалить их, если никто не входил в систему более 3 месяцев.
Насколько я знаю, вы не можете получить обратный доступ к этой информации, если до сих пор не регистрировали ее.
Здесь вы должны проверить уровень лога:
vi /etc/ssh/sshd_config
....
LogLevel VERBOSE
....
Если это не VERBOSE, а QUIET/FATAL/ERROR, то вы не получите старых записей лога.
Иначе, вы должны видеть отпечатки ключей для каждого нового соединения в /var/log/auth.log*.
Если вам необходимо задать этот вопрос, то вряд ли вы предприняли необходимые шаги для сбора информации. Обычно вам приходится увеличивать глаголы журнала для демона ssh, чтобы удостовериться, что он записывает в журнал, какие ключи используются. Чтобы получить 3 месяца информации, вам бы хотелось;вам пришлось настроить вашу систему на ведение логов и в течение этого времени.
У меня туманное воспоминание о том, что я видел здесь ответ/комментарий по SF, в котором говорится, что более свежие версии Ubuntu записывают информацию в лог легче, но я не могу найти его сейчас.
И ссылка на то, что делать Возможно ли заставить OpenSSH записать в лог открытый ключ, который использовался при аутентификации?