Wie kann man dann den "User" identifizieren, der zuletzt Sch***** hochgeladen und ausgeführt hat?
Tja.
journalctl -f
zeigt mir:
Aug 04 15:48:36 SERVER sshd[11466]: Accepted publickey for $USER from IP port 41752 ssh2: ED25519 SHA256:$HASH
Allerdings geht es natürlich auch, dass Du auf dem Server den ssh-client ausführst:
ssh user@DEVICE 'ls -l | grep test.php' > output_DEVICE.txt
less output_DEVICE.txt
-rw-r--r-- 1 user group 126 Apr 21 12:06 test.php