Tệp nhật ký sshd trên Red Hat Linux được lưu trữ ở đâu?

33

Ai đó có thể vui lòng cho tôi biết nơi tìm nhật ký SSHD trên RedHat và SELinux không .... Tôi muốn xem nhật ký để xem ai đang đăng nhập vào tài khoản của tôi ..

linux  ssh  redhat  selinux 
người dùng150591
nguồn
4
Sheesh - nếu bạn phải hỏi "ai đang đăng nhập vào tài khoản của tôi", thì trò chơi đã kết thúc. Xem Làm thế nào để tôi đối phó với một máy chủ bị xâm nhập .
EEAA
2
Với thực tế là RHEL7 sẽ sử dụng một hệ thống ghi nhật ký khác, bạn có thể thêm thẻ với phiên bản cụ thể mà bạn đang sử dụng không?
Cristian Ciupitu

Câu trả lời:

46

Hồ sơ đăng nhập thường ở / var / log / safe. Tôi không nghĩ có một nhật ký cụ thể cho quy trình SSH daemon, trừ khi bạn đã tách nó ra khỏi các thông báo nhật ký hệ thống khác.

John
nguồn
2
/ var / log / safe không có ở đó ... đó có phải là một dấu hiệu xấu không?
marcio
Nếu bạn đang sử dụng Red Hat Enterprise Linux, Fedora hoặc một công cụ phái sinh của RHEL như CentOS, thì có, đây là một dấu hiệu xấu. Có cái gì đó không đúng.
Giăng
2
Tôi đã đọc rằng fedora sử dụng tạp chí thay vì /var/log/secure. Với journalctl _COMM=sshdtôi có thể thấy tất cả hoạt động của ssh và mọi thứ có vẻ ổn: D
marcio
6

Ngoài câu trả lời @john, một số bản phân phối hiện đang sử dụng tạp chí theo mặc định. Nếu đó là trường hợp của bạn, có lẽ bạn có thể thấy sshdhoạt động thông qua:

_> journalctl _COMM=sshd

Bạn sẽ thấy đầu ra như thế này:

Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.
marcio
nguồn
1
Ngoài ra còn có journalctl _SYSTEMD_UNIT=sshd.servicemột điểm khác biệt là nó sẽ chỉ nhận được các bản ghi cho dịch vụ ngoại trừ mọi trường hợp sshd có thể khác (ví dụ: ai đó chạy song song một máy chủ SSH khác).
Cristian Ciupitu
3

Nhật ký trên thực tế nằm ở / var / log / safe trên các hệ thống RHEL. Một kết nối SSHD sẽ trông giống như thế này;

Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)

Phần quan trọng nhất để xác định xem tài khoản của bạn có bị xâm phạm hay không là Địa chỉ IP.

Ethabelle
nguồn
1

Nếu bạn đang sử dụng RHEL / CentOS 7, hệ thống của bạn sẽ sử dụng systemd, và do đó là tạp chí. Như đã đề cập ở trên, bạn có thể sử dụng journalctl _COMM=sshd. Tuy nhiên, bạn cũng có thể xem điều này bằng lệnh sau:

# journalctl -u sshd

Bạn cũng có thể xác minh phiên bản redhat của mình bằng lệnh sau:

# cat /etc/*release

Điều này sẽ cho bạn thấy thông tin phiên bản về phiên bản linux của bạn.

86bornprgmr
nguồn
0

Kiểm tra /var/log/secure ký bảo mật được xoay vòng để bạn cũng có thể cần tìm kiếm các tệp trước đó. VÍ DỤ/var/log/secure-20190903

Bạn cũng có thể quan tâm đến việc tìm kiếm logfile cho các dòng cụ thể (Tôi vừa đập vào bàn phím để tạo các địa chỉ IP mẫu đó vì vậy vui lòng không gán quá nhiều ý nghĩa cho chúng)

sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*
tham gia
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.