Di mana file log sshd di Red Hat Linux disimpan?


33

Dapatkah seseorang tolong beritahu saya di mana menemukan log SSHD di RedHat dan SELinux .... Saya ingin melihat log untuk melihat siapa yang masuk ke akun saya ..


4
Sheesh - jika Anda harus bertanya "siapa yang masuk ke akun saya", itu sudah berakhir. Lihat Bagaimana cara saya menangani server yang disusupi .
EEAA

2
Mengingat fakta bahwa RHEL7 akan menggunakan sistem pencatatan yang berbeda, dapatkah Anda menambahkan tag dengan versi spesifik yang Anda gunakan?
Cristian Ciupitu

Jawaban:


46

Catatan login biasanya di / var / log / secure. Saya tidak berpikir ada log khusus untuk proses daemon SSH, kecuali Anda telah memecahkannya dari pesan syslog lainnya.


2
/ var / log / secure tidak ada ... apakah itu pertanda buruk?
marcio

Jika Anda menggunakan Red Hat Enterprise Linux, Fedora, atau turunan RHEL seperti CentOS, maka ya, ini pertanda buruk. Sesuatu yang salah.
John

2
Saya telah membaca bahwa fedora menggunakan journalctl bukan /var/log/secure. Dengan journalctl _COMM=sshdsaya dapat melihat semua aktivitas ssh dan semuanya tampak baik-baik saja: D
marcio

6

Selain jawaban John, beberapa distribusi sekarang menggunakan journalctl secara default. Jika demikian, Anda mungkin dapat melihat sshdaktivitas melalui:

_> journalctl _COMM=sshd

Anda akan melihat output seperti ini:

Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.

1
Ada juga journalctl _SYSTEMD_UNIT=sshd.serviceperbedaannya yaitu hanya akan mendapatkan log untuk layanan tidak termasuk kemungkinan sshd lainnya (misalnya seseorang menjalankan server SSH lain secara paralel).
Cristian Ciupitu

3

Log sebenarnya terletak di / var / log / secure pada sistem RHEL. Koneksi SSHD akan terlihat seperti ini;

Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)

Bagian terpenting untuk menentukan apakah akun Anda telah disusupi atau tidak adalah Alamat IP.


1

Jika Anda menggunakan RHEL / CentOS 7, sistem Anda akan menggunakan systemd, dan karenanya journalctl. Seperti disebutkan di atas, Anda dapat menggunakan journalctl _COMM=sshd. Namun, Anda juga harus dapat melihatnya dengan perintah berikut:

# journalctl -u sshd

Anda dapat memverifikasi versi redhat Anda dengan perintah berikut juga:

# cat /etc/*release

Ini akan menunjukkan kepada Anda informasi versi tentang versi linux Anda.


0

Periksa /var/log/secure log Aman diputar sehingga Anda mungkin perlu mencari file sebelumnya juga. MISALNYA/var/log/secure-20190903

Anda mungkin juga tertarik untuk mencari logfile untuk baris tertentu (Saya baru saja menggedor keyboard untuk menghasilkan alamat IP sampel tersebut jadi tolong jangan atribut terlalu banyak artinya bagi mereka)

sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.