Gdzie jest przechowywany plik dziennika sshd w systemie Red Hat Linux?

33

Czy ktoś może mi powiedzieć, gdzie znaleźć dziennik SSHD na RedHat i SELinux ... Chciałbym wyświetlić dziennik, aby zobaczyć, kto loguje się na moje konto ..

użytkownik150591
źródło
4
Sheesh - jeśli musisz zapytać „kto loguje się na moje konto”, gra już się kończy. Zobacz Jak poradzić sobie z zagrożonym serwerem .
EEAA,
2
Biorąc pod uwagę fakt, że RHEL7 będzie używać innego systemu rejestrowania, czy możesz dodać tag z konkretną wersją, której używasz?
Cristian Ciupitu

Odpowiedzi:

46

Dane logowania są zwykle w katalogu / var / log / secure. Nie sądzę, aby istniał dziennik specyficzny dla procesu demona SSH, chyba że złamałeś go z innych wiadomości syslog.

Jan
źródło
2
/ var / log / secure nie ma ... czy to zły znak?
marcio
Jeśli korzystasz z Red Hat Enterprise Linux, Fedora lub pochodnej RHEL, takiej jak CentOS, to tak, to zły znak. Coś jest nie tak.
Jan
2
Czytałem, że fedora zamiast tego używa Journalctl /var/log/secure. Z journalctl _COMM=sshdMogłem zobaczyć całą aktywność ssh i wszystko wydaje się w porządku: D
Marcio
6

Oprócz odpowiedzi @john, niektóre dystrybucje używają teraz domyślnie journalctl. Jeśli tak jest w Twoim przypadku, prawdopodobnie możesz zobaczyć sshdaktywność poprzez:

_> journalctl _COMM=sshd

Zobaczysz takie dane wyjściowe:

Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.
marcio
źródło
1
journalctl _SYSTEMD_UNIT=sshd.serviceRóżnica polega także na tym, że pobiera tylko dzienniki usługi, z wyłączeniem wszelkich innych możliwych instancji sshd (na przykład ktoś równolegle obsługuje inny serwer SSH).
Cristian Ciupitu
3

Dziennik znajduje się w katalogu / var / log / secure w systemach RHEL. Połączenie SSHD będzie wyglądać mniej więcej tak;

Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)

Najważniejszą częścią przy ustalaniu, czy Twoje konto zostało naruszone, jest adres IP.

Ethabelle
źródło
1

Jeśli używasz RHEL / CentOS 7, twój system będzie używał systemd, a zatem Journalctl. Jak wspomniano powyżej, możesz użyć journalctl _COMM=sshd. Jednak powinieneś być w stanie to wyświetlić za pomocą następującego polecenia:

# journalctl -u sshd

Możesz zweryfikować swoją wersję redhat również za pomocą następującego polecenia:

# cat /etc/*release

Spowoduje to wyświetlenie informacji o wersji Twojej wersji systemu Linux.

86bornprgmr
źródło
0

Sprawdź /var/log/secure Bezpieczne dzienniki się obracają, więc może być konieczne przeszukanie również poprzednich plików. NA PRZYKŁAD/var/log/secure-20190903

Możesz być także zainteresowany przeszukaniem pliku dziennika w poszukiwaniu określonych linii (właśnie uderzyłem w klawiaturę, aby wygenerować te przykładowe adresy IP, więc nie przypisuj im zbyt dużego znaczenia)

sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*
joar
źródło