Dapatkah seseorang tolong beritahu saya di mana menemukan log SSHD di RedHat dan SELinux .... Saya ingin melihat log untuk melihat siapa yang masuk ke akun saya ..
Dapatkah seseorang tolong beritahu saya di mana menemukan log SSHD di RedHat dan SELinux .... Saya ingin melihat log untuk melihat siapa yang masuk ke akun saya ..
Jawaban:
Catatan login biasanya di / var / log / secure. Saya tidak berpikir ada log khusus untuk proses daemon SSH, kecuali Anda telah memecahkannya dari pesan syslog lainnya.
/var/log/secure
. Dengan journalctl _COMM=sshd
saya dapat melihat semua aktivitas ssh dan semuanya tampak baik-baik saja: D
Selain jawaban John, beberapa distribusi sekarang menggunakan journalctl secara default. Jika demikian, Anda mungkin dapat melihat sshd
aktivitas melalui:
_> journalctl _COMM=sshd
Anda akan melihat output seperti ini:
Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.
journalctl _SYSTEMD_UNIT=sshd.service
perbedaannya yaitu hanya akan mendapatkan log untuk layanan tidak termasuk kemungkinan sshd lainnya (misalnya seseorang menjalankan server SSH lain secara paralel).
Log sebenarnya terletak di / var / log / secure pada sistem RHEL. Koneksi SSHD akan terlihat seperti ini;
Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)
Bagian terpenting untuk menentukan apakah akun Anda telah disusupi atau tidak adalah Alamat IP.
Jika Anda menggunakan RHEL / CentOS 7, sistem Anda akan menggunakan systemd, dan karenanya journalctl. Seperti disebutkan di atas, Anda dapat menggunakan journalctl _COMM=sshd
. Namun, Anda juga harus dapat melihatnya dengan perintah berikut:
# journalctl -u sshd
Anda dapat memverifikasi versi redhat Anda dengan perintah berikut juga:
# cat /etc/*release
Ini akan menunjukkan kepada Anda informasi versi tentang versi linux Anda.
Periksa /var/log/secure
log Aman diputar sehingga Anda mungkin perlu mencari file sebelumnya juga. MISALNYA/var/log/secure-20190903
Anda mungkin juga tertarik untuk mencari logfile untuk baris tertentu (Saya baru saja menggedor keyboard untuk menghasilkan alamat IP sampel tersebut jadi tolong jangan atribut terlalu banyak artinya bagi mereka)
sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*