Де зберігається файл журналу sshd на Red Hat Linux?


33

Хтось, будь ласка, скажіть мені, де можна знайти журнал SSHD на RedHat та SELinux .... Я хотів би переглянути журнал, щоб побачити, хто входить у мій обліковий запис ..


4
Sheesh - якщо вам доведеться запитати "хто входить у мій рахунок", це вже закінчилося. Див. Як мені працювати з компрометованим сервером .
ЄЕАА

2
Зважаючи на той факт, що RHEL7 використовуватиме іншу систему реєстрації, чи можете ви додати тег із конкретною версією, яку ви використовуєте?
Крістіан Цюпіту

Відповіді:


46

Записи входу зазвичай в / var / log / secure. Я не думаю, що існує лог, специфічний для процесу демон-SSH, якщо ви не виділили його з інших повідомлень системного журналу.


2
/ var / log / secure не існує ... це поганий знак?
marcio

Якщо ви користуєтеся Red Hat Enterprise Linux, Fedora або похідною RHEL на зразок CentOS, то так, це поганий знак. Щось не так.
Іван

2
Я читав, що fedora використовує journalctl замість /var/log/secure. З journalctl _COMM=sshdя міг бачити всю ssh діяльність і все здається нормальним: D
marcio

6

Окрім @john відповіді, деякі дистрибутиви тепер використовують журнал за замовчуванням. Якщо це так, ви, ймовірно, можете бачити sshdактивність через:

_> journalctl _COMM=sshd

Ви побачите такий результат:

Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.

1
journalctl _SYSTEMD_UNIT=sshd.serviceРізниця також полягає в тому, що він отримуватиме лише журнали служби, виключаючи будь-які інші можливі екземпляри sshd (наприклад, хтось паралельно запускає інший SSH-сервер).
Крістіан Цюпіту

3

Фактично журнал знаходиться в / var / log / secure в системах RHEL. З'єднання SSHD виглядатиме приблизно так;

Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)

Найважливішою частиною для визначення того, чи порушено ваш рахунок, є IP-адреса.


1

Якщо ви використовуєте RHEL / CentOS 7, ваша система буде використовувати systemd і, таким чином, journalctl. Як було сказано вище, ви можете використовувати journalctl _COMM=sshd. Однак ви також зможете переглянути це за допомогою наступної команди:

# journalctl -u sshd

Ви також можете перевірити свою версію redhat за допомогою наступної команди:

# cat /etc/*release

Це покаже інформацію про версію вашої версії Linux.


0

Перевірте /var/log/secure безпечні журнали, які обертаються, тому вам може знадобитися також пошук попередніх файлів. EG/var/log/secure-20190903

Можливо, вам також буде цікаво шукати файл лог-файлу для певних рядків (я просто натиснув на клавіатуру, щоб генерувати ці зразкові ip-адреси, тому, будь ласка, не приписуйте їм занадто багато значення)

sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.