Где хранится файл журнала sshd в Red Hat Linux?

33

Может кто-нибудь, пожалуйста, скажите мне, где найти журнал SSHD на RedHat и SELinux .... Я хотел бы просмотреть журнал, чтобы увидеть, кто входит в мою учетную запись ..

— user150591
источник

4

Sheesh - если вам нужно спросить "кто входит в мою учетную запись", это уже игра окончена. Посмотрите, как я имею дело с взломанным сервером .

— EEAA

2

Учитывая тот факт, что RHEL7 будет использовать другую систему ведения журналов, не могли бы вы добавить тег с конкретной версией, которую вы используете?

— Кристиан Чиупиту

46

Регистрационные записи обычно находятся в / var / log / secure. Я не думаю, что есть журнал, специфичный для процесса демона SSH, если только вы не разбили его из других сообщений системного журнала.

— Джон
источник

2

/ var / log / secure не существует ... это плохой знак?

— Марсио

Если вы используете Red Hat Enterprise Linux, Fedora или RHEL-производную, например CentOS, то да, это плохой знак. Что-то не так.

— Джон

2

Я читал, что Fedora использует journalctl вместо /var/log/secure. С ним journalctl _COMM=sshdя мог видеть всю активность ssh и все вроде нормально: D

— marcio

6

В дополнение к ответу @john в некоторых дистрибутивах по умолчанию теперь используется journalctl. Если это ваш случай, вы, вероятно, сможете увидеть sshdактивность через:

_> journalctl _COMM=sshd

Вы увидите вывод так:

Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.

— Марсио
источник

1

journalctl _SYSTEMD_UNIT=sshd.serviceРазница также в том, что он будет получать только журналы для службы, исключая любые другие возможные экземпляры sshd (например, кто-то параллельно запускает другой SSH-сервер).

— Кристиан Чиупиту

3

Журнал фактически находится в / var / log / secure в системах RHEL. Соединение SSHD будет выглядеть примерно так;

Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)

Наиболее важной частью для определения того, была ли ваша учетная запись скомпрометирована, является IP-адрес.

— Ethabelle
источник

1

Если вы используете RHEL / CentOS 7, ваша система будет использовать systemd и, следовательно, journalctl. Как уже упоминалось выше, вы можете использовать journalctl _COMM=sshd. Однако вы также должны иметь возможность просмотреть это с помощью следующей команды:

# journalctl -u sshd

Вы также можете проверить свою версию redhat с помощью следующей команды:

# cat /etc/*release

Это покажет вам информацию о версии вашей версии Linux.

— 86bornprgmr
источник

0

Проверьте, что /var/log/secure защищенные журналы вращаются, поэтому вам также может понадобиться поискать предыдущие файлы. НАПРИМЕР/var/log/secure-20190903

Вы также можете быть заинтересованы в поиске в файле журнала определенных строк (я просто нажал на клавиатуре, чтобы сгенерировать эти примеры IP-адресов, поэтому, пожалуйста, не придавайте им слишком большого значения)

sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*

— Joar
источник