Де зберігається файл журналу sshd на Red Hat Linux?

33

Хтось, будь ласка, скажіть мені, де можна знайти журнал SSHD на RedHat та SELinux .... Я хотів би переглянути журнал, щоб побачити, хто входить у мій обліковий запис ..

— user150591
джерело

4

Sheesh - якщо вам доведеться запитати "хто входить у мій рахунок", це вже закінчилося. Див. Як мені працювати з компрометованим сервером .

— ЄЕАА

2

Зважаючи на той факт, що RHEL7 використовуватиме іншу систему реєстрації, чи можете ви додати тег із конкретною версією, яку ви використовуєте?

— Крістіан Цюпіту

46

Записи входу зазвичай в / var / log / secure. Я не думаю, що існує лог, специфічний для процесу демон-SSH, якщо ви не виділили його з інших повідомлень системного журналу.

— Джон
джерело

2

/ var / log / secure не існує ... це поганий знак?

— marcio

Якщо ви користуєтеся Red Hat Enterprise Linux, Fedora або похідною RHEL на зразок CentOS, то так, це поганий знак. Щось не так.

— Іван

2

Я читав, що fedora використовує journalctl замість /var/log/secure. З journalctl _COMM=sshdя міг бачити всю ssh діяльність і все здається нормальним: D

— marcio

6

Окрім @john відповіді, деякі дистрибутиви тепер використовують журнал за замовчуванням. Якщо це так, ви, ймовірно, можете бачити sshdактивність через:

_> journalctl _COMM=sshd

Ви побачите такий результат:

Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.

— marcio
джерело

1

journalctl _SYSTEMD_UNIT=sshd.serviceРізниця також полягає в тому, що він отримуватиме лише журнали служби, виключаючи будь-які інші можливі екземпляри sshd (наприклад, хтось паралельно запускає інший SSH-сервер).

— Крістіан Цюпіту

3

Фактично журнал знаходиться в / var / log / secure в системах RHEL. З'єднання SSHD виглядатиме приблизно так;

Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)

Найважливішою частиною для визначення того, чи порушено ваш рахунок, є IP-адреса.

— Етабел
джерело

1

Якщо ви використовуєте RHEL / CentOS 7, ваша система буде використовувати systemd і, таким чином, journalctl. Як було сказано вище, ви можете використовувати journalctl _COMM=sshd. Однак ви також зможете переглянути це за допомогою наступної команди:

# journalctl -u sshd

Ви також можете перевірити свою версію redhat за допомогою наступної команди:

# cat /etc/*release

Це покаже інформацію про версію вашої версії Linux.

— 86bornprgmr
джерело

0

Перевірте /var/log/secure безпечні журнали, які обертаються, тому вам може знадобитися також пошук попередніх файлів. EG/var/log/secure-20190903

Можливо, вам також буде цікаво шукати файл лог-файлу для певних рядків (я просто натиснув на клавіатуру, щоб генерувати ці зразкові ip-адреси, тому, будь ласка, не приписуйте їм занадто багато значення)

sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*

— жарт
джерело