Frage Wo ist die sshd-Protokolldatei auf Red Hat Linux gespeichert?


Kann mir jemand bitte sagen wo ich das SSHD Log auf RedHat und SELinux finde .... Ich möchte das Log sehen um zu sehen wer sich in meinem Account anmeldet ..


27
2018-01-10 15:28


Ursprung


Sheesh - wenn du fragen musst "wer sich in mein Konto einloggt", ist das Spiel schon vorbei. Sehen Wie gehe ich mit einem kompromittierten Server um?. - EEAA
Angesichts der Tatsache, dass RHEL7 ein anderes Protokollierungssystem verwenden wird, könnten Sie ein Tag mit der von Ihnen verwendeten Version hinzufügen? - Cristian Ciupitu


Antworten:


Anmeldungsdatensätze befinden sich normalerweise in / var / log / secure. Ich denke nicht, dass es ein Protokoll gibt, das spezifisch für den SSH-Daemon-Prozess ist, es sei denn, Sie haben es aus anderen Syslog-Nachrichten herausgelöst.


42
2018-01-10 15:32



/ var / log / secure ist nicht da ... ist das ein schlechtes Zeichen? - marcio
Wenn Sie Red Hat Enterprise Linux, Fedora oder ein RHEL-Derivat wie CentOS verwenden, dann ist das ein schlechtes Zeichen. Irgendwas stimmt nicht. - John
Ich habe gelesen, dass Fedora journalctl anstelle von verwendet /var/log/secure. Mit journalctl _COMM=sshd Ich konnte alle ssh Aktivitäten sehen und alles scheint in Ordnung zu sein: D - marcio


Zusätzlich zu @john answer verwenden einige Distributionen jetzt journalctl standardmäßig. Wenn das der Fall ist, können Sie wahrscheinlich sehen sshd Aktivität durch:

_> journalctl _COMM=sshd

Sie sehen die Ausgabe wie folgt:

Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.

6
2018-05-22 13:48



Es gibt auch journalctl _SYSTEMD_UNIT=sshd.service Der Unterschied ist, dass es nur die Logs für den Service erhält, ausgenommen alle anderen möglichen sshd Instanzen (zum Beispiel führt jemand einen anderen SSH-Server parallel). - Cristian Ciupitu


Das Protokoll befindet sich tatsächlich auf RHEL-Systemen unter / var / log / secure. Eine SSHD-Verbindung sieht ungefähr so ​​aus;

Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)

Der wichtigste Teil für die Feststellung, ob Ihr Konto kompromittiert wurde oder nicht, ist die IP-Adresse.


3
2018-01-10 15:51





Wenn Sie RHEL / CentOS 7 verwenden, verwendet Ihr System systemd und daher journalctl. Wie oben erwähnt, können Sie die journalctl _COMM=sshd. Sie sollten dies jedoch auch mit dem folgenden Befehl anzeigen können:

# journalctl -u sshd

Sie können Ihre Version von redhat auch mit dem folgenden Befehl überprüfen:

# cat /etc/*release

Dies zeigt Ihnen Versionsinformationen über Ihre Version von Linux.


1
2017-08-18 22:36