Gdzie jest przechowywany plik dziennika sshd w systemie Red Hat Linux?
33
Czy ktoś może mi powiedzieć, gdzie znaleźć dziennik SSHD na RedHat i SELinux ... Chciałbym wyświetlić dziennik, aby zobaczyć, kto loguje się na moje konto ..
Biorąc pod uwagę fakt, że RHEL7 będzie używać innego systemu rejestrowania, czy możesz dodać tag z konkretną wersją, której używasz?
Cristian Ciupitu
Odpowiedzi:
46
Dane logowania są zwykle w katalogu / var / log / secure. Nie sądzę, aby istniał dziennik specyficzny dla procesu demona SSH, chyba że złamałeś go z innych wiadomości syslog.
Jeśli korzystasz z Red Hat Enterprise Linux, Fedora lub pochodnej RHEL, takiej jak CentOS, to tak, to zły znak. Coś jest nie tak.
Jan
2
Czytałem, że fedora zamiast tego używa Journalctl /var/log/secure. Z journalctl _COMM=sshdMogłem zobaczyć całą aktywność ssh i wszystko wydaje się w porządku: D
Marcio
6
Oprócz odpowiedzi @john, niektóre dystrybucje używają teraz domyślnie journalctl. Jeśli tak jest w Twoim przypadku, prawdopodobnie możesz zobaczyć sshdaktywność poprzez:
_> journalctl _COMM=sshd
Zobaczysz takie dane wyjściowe:
Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.
journalctl _SYSTEMD_UNIT=sshd.serviceRóżnica polega także na tym, że pobiera tylko dzienniki usługi, z wyłączeniem wszelkich innych możliwych instancji sshd (na przykład ktoś równolegle obsługuje inny serwer SSH).
Cristian Ciupitu
3
Dziennik znajduje się w katalogu / var / log / secure w systemach RHEL. Połączenie SSHD będzie wyglądać mniej więcej tak;
Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)
Najważniejszą częścią przy ustalaniu, czy Twoje konto zostało naruszone, jest adres IP.
Jeśli używasz RHEL / CentOS 7, twój system będzie używał systemd, a zatem Journalctl. Jak wspomniano powyżej, możesz użyć journalctl _COMM=sshd. Jednak powinieneś być w stanie to wyświetlić za pomocą następującego polecenia:
# journalctl -u sshd
Możesz zweryfikować swoją wersję redhat również za pomocą następującego polecenia:
# cat /etc/*release
Spowoduje to wyświetlenie informacji o wersji Twojej wersji systemu Linux.
Sprawdź /var/log/secure
Bezpieczne dzienniki się obracają, więc może być konieczne przeszukanie również poprzednich plików. NA PRZYKŁAD/var/log/secure-20190903
Możesz być także zainteresowany przeszukaniem pliku dziennika w poszukiwaniu określonych linii (właśnie uderzyłem w klawiaturę, aby wygenerować te przykładowe adresy IP, więc nie przypisuj im zbyt dużego znaczenia)
Odpowiedzi:
Dane logowania są zwykle w katalogu / var / log / secure. Nie sądzę, aby istniał dziennik specyficzny dla procesu demona SSH, chyba że złamałeś go z innych wiadomości syslog.
źródło
/var/log/secure
. Zjournalctl _COMM=sshd
Mogłem zobaczyć całą aktywność ssh i wszystko wydaje się w porządku: DOprócz odpowiedzi @john, niektóre dystrybucje używają teraz domyślnie journalctl. Jeśli tak jest w Twoim przypadku, prawdopodobnie możesz zobaczyć
sshd
aktywność poprzez:Zobaczysz takie dane wyjściowe:
źródło
journalctl _SYSTEMD_UNIT=sshd.service
Różnica polega także na tym, że pobiera tylko dzienniki usługi, z wyłączeniem wszelkich innych możliwych instancji sshd (na przykład ktoś równolegle obsługuje inny serwer SSH).Dziennik znajduje się w katalogu / var / log / secure w systemach RHEL. Połączenie SSHD będzie wyglądać mniej więcej tak;
Najważniejszą częścią przy ustalaniu, czy Twoje konto zostało naruszone, jest adres IP.
źródło
Jeśli używasz RHEL / CentOS 7, twój system będzie używał systemd, a zatem Journalctl. Jak wspomniano powyżej, możesz użyć
journalctl _COMM=sshd
. Jednak powinieneś być w stanie to wyświetlić za pomocą następującego polecenia:Możesz zweryfikować swoją wersję redhat również za pomocą następującego polecenia:
Spowoduje to wyświetlenie informacji o wersji Twojej wersji systemu Linux.
źródło
Sprawdź
/var/log/secure
Bezpieczne dzienniki się obracają, więc może być konieczne przeszukanie również poprzednich plików. NA PRZYKŁAD/var/log/secure-20190903
Możesz być także zainteresowany przeszukaniem pliku dziennika w poszukiwaniu określonych linii (właśnie uderzyłem w klawiaturę, aby wygenerować te przykładowe adresy IP, więc nie przypisuj im zbyt dużego znaczenia)
źródło