Dove si trova il file di registro sshd su Red Hat Linux?

33

Qualcuno può dirmi dove trovare il registro SSHD su RedHat e SELinux .... Vorrei visualizzare il registro per vedere chi accede al mio account ..

linux  ssh  redhat  selinux 
user150591
fonte
4
Sheesh - se devi chiedere "chi accede al mio account", il gioco è già finito. Vedi Come gestisco un server compromesso .
SEE
2
Dato che RHEL7 utilizzerà un diverso sistema di registrazione, potresti aggiungere un tag con la versione specifica che stai utilizzando?
Cristian Ciupitu,

Risposte:

46

I record di accesso sono in genere in / var / log / secure. Non credo che esista un registro specifico per il processo del demone SSH, a meno che non sia stato eliminato da altri messaggi syslog.

John
fonte
2
/ var / log / secure non c'è ... è un brutto segno?
marcio
Se usi Red Hat Enterprise Linux, Fedora o un derivato RHEL come CentOS, allora sì, questo è un brutto segno. Qualcosa è sbagliato.
Giovanni,
2
Ho letto che fedora usa journalctl invece di /var/log/secure. Con journalctl _COMM=sshdho potuto vedere tutta l'attività ssh e tutto sembra a posto: D
marcio
6

Oltre alla risposta di @john, alcune distribuzioni ora utilizzano journalctl per impostazione predefinita. In questo caso, probabilmente sarai in grado di vedere l' sshdattività attraverso:

_> journalctl _COMM=sshd

Vedrai un output in questo modo:

Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.
Marcio
fonte
1
C'è anche journalctl _SYSTEMD_UNIT=sshd.servicela differenza che otterrà solo i log per il servizio escludendo qualsiasi altra possibile istanza sshd (ad esempio qualcuno esegue un altro server SSH in parallelo).
Cristian Ciupitu,
3

Il registro si trova infatti in / var / log / secure sui sistemi RHEL. Una connessione SSHD sarà simile a questa;

Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)

La parte più importante per determinare se il tuo account è stato compromesso o meno è l'indirizzo IP.

Ethabelle
fonte
1

Se si utilizza RHEL / CentOS 7, il sistema utilizzerà systemd e quindi journalctl. Come accennato in precedenza, è possibile utilizzare il journalctl _COMM=sshd. Tuttavia, dovresti anche essere in grado di visualizzarlo con il seguente comando:

# journalctl -u sshd

Puoi verificare la tua versione di redhat anche con il seguente comando:

# cat /etc/*release

Questo ti mostrerà le informazioni sulla versione della tua versione di Linux.

86bornprgmr
fonte
0

Controlla /var/log/secure I registri sicuri vengono ruotati, quindi potrebbe essere necessario cercare anche i file precedenti. PER ESEMPIO/var/log/secure-20190903

Potresti anche essere interessato a cercare file di log per linee specifiche (ho appena sbattuto sulla tastiera per generare quegli indirizzi IP di esempio, quindi per favore non attribuire loro troppo significato)

sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*
Joar
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.