저는 SSH 연결 중에 많은 명령을 실행하는 프로그램을 작성하려고 했습니다.
나의 현재 접근 방식은 (1) SSH 연결을 생성하고 (2) 필요할 때 SSH 명령 터널/채널을 생성하고 (3) SSH 연결을 닫는 것입니다.
예상한 대로 /var/log/secure에는 ssh 열기 및 닫기 이벤트에 해당하는 두 개의 항목만 표시됩니다.
내 문제는 로그인 및 로그아웃 이벤트에 해당하는 /var/log/wtmp에 많은 항목이 있다는 것입니다.
SSH 연결을 기록하는 맥락에서 이 두 파일 간의 관계에 대해 의견을 제시해 주시겠습니까?
어떤 통찰력이라도 감사하겠습니다! 용어가 부적절하고 불편을 끼쳤다면 죄송합니다!
답변1
/var/log/secure인증 이벤트의 로그 항목을 추적합니다. SSH 연결을 열 때마다 인증 이벤트가 발생합니다. 이러한 항목은 시스템 구성에 따라 존재할 수 있는 /var/log/auth.log, /var/log/syslog, /var/log/daemon.log및 /var/log/messages기타 텍스트 모드 로그 파일 에도 나타날 수 있습니다 . 이와 관련하여 배포판마다 기본값이 다릅니다.
터널 열기 또는 슬레이브 연결을 포함하여 기존 SSH 연결을 통해 특정 작업을 수행하는 경우 인증 단계가 필요하지 않습니다. 따라서 이는 에 문서화되어 있지 않습니다 /var/log/secure.
항목 /var/log/wtmp(및utmp)에는 단말기의 생성 및 파기, 사용자에게 단말기의 할당 및 해제를 기록합니다. 따라서 대화형 세션만 추적합니다. 일부 설정에서는 터미널 에뮬레이터에 의한 모든 터미널 생성이 여기에 기록됩니다. ssh -t로그인 utmp 및 wtmp는 SSH 연결이 터미널을 생성하는 경우에만 트리거됩니다 (예: 명령을 전달하지 않아 대화형 셸을 얻는 경우 또는 를 실행하는 경우 ).