U. Nix: Nicht ein user pro Device, ein SSH-Key/device in authorized_keys reicht.

Beitrag lesen

Wie kann man dann den "User" identifizieren, der zuletzt Sch***** hochgeladen und ausgeführt hat?

Tja.

journalctl -f zeigt mir:

Aug 04 15:48:36 SERVER sshd[11466]: Accepted publickey for $USER from IP port 41752 ssh2: ED25519 SHA256:$HASH

Allerdings geht es natürlich auch, dass Du auf dem Server den ssh-client ausführst:

ssh user@DEVICE 'ls -l | grep test.php' > output_DEVICE.txt
less output_DEVICE.txt
-rw-r--r-- 1 user group   126 Apr 21 12:06 test.php