Dapatkah seseorang tolong beritahu saya di mana menemukan log SSHD di RedHat dan SELinux .... Saya ingin melihat log untuk melihat siapa yang masuk ke akun saya ..
Mengingat fakta bahwa RHEL7 akan menggunakan sistem pencatatan yang berbeda, dapatkah Anda menambahkan tag dengan versi spesifik yang Anda gunakan?
Cristian Ciupitu
Jawaban:
46
Catatan login biasanya di / var / log / secure. Saya tidak berpikir ada log khusus untuk proses daemon SSH, kecuali Anda telah memecahkannya dari pesan syslog lainnya.
/ var / log / secure tidak ada ... apakah itu pertanda buruk?
marcio
Jika Anda menggunakan Red Hat Enterprise Linux, Fedora, atau turunan RHEL seperti CentOS, maka ya, ini pertanda buruk. Sesuatu yang salah.
John
2
Saya telah membaca bahwa fedora menggunakan journalctl bukan /var/log/secure. Dengan journalctl _COMM=sshdsaya dapat melihat semua aktivitas ssh dan semuanya tampak baik-baik saja: D
marcio
6
Selain jawaban John, beberapa distribusi sekarang menggunakan journalctl secara default. Jika demikian, Anda mungkin dapat melihat sshdaktivitas melalui:
_> journalctl _COMM=sshd
Anda akan melihat output seperti ini:
Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.
Ada juga journalctl _SYSTEMD_UNIT=sshd.serviceperbedaannya yaitu hanya akan mendapatkan log untuk layanan tidak termasuk kemungkinan sshd lainnya (misalnya seseorang menjalankan server SSH lain secara paralel).
Cristian Ciupitu
3
Log sebenarnya terletak di / var / log / secure pada sistem RHEL. Koneksi SSHD akan terlihat seperti ini;
Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)
Bagian terpenting untuk menentukan apakah akun Anda telah disusupi atau tidak adalah Alamat IP.
Jika Anda menggunakan RHEL / CentOS 7, sistem Anda akan menggunakan systemd, dan karenanya journalctl. Seperti disebutkan di atas, Anda dapat menggunakan journalctl _COMM=sshd. Namun, Anda juga harus dapat melihatnya dengan perintah berikut:
# journalctl -u sshd
Anda dapat memverifikasi versi redhat Anda dengan perintah berikut juga:
# cat /etc/*release
Ini akan menunjukkan kepada Anda informasi versi tentang versi linux Anda.
Periksa /var/log/secure
log Aman diputar sehingga Anda mungkin perlu mencari file sebelumnya juga. MISALNYA/var/log/secure-20190903
Anda mungkin juga tertarik untuk mencari logfile untuk baris tertentu (Saya baru saja menggedor keyboard untuk menghasilkan alamat IP sampel tersebut jadi tolong jangan atribut terlalu banyak artinya bagi mereka)
Jawaban:
Catatan login biasanya di / var / log / secure. Saya tidak berpikir ada log khusus untuk proses daemon SSH, kecuali Anda telah memecahkannya dari pesan syslog lainnya.
sumber
/var/log/secure. Denganjournalctl _COMM=sshdsaya dapat melihat semua aktivitas ssh dan semuanya tampak baik-baik saja: DSelain jawaban John, beberapa distribusi sekarang menggunakan journalctl secara default. Jika demikian, Anda mungkin dapat melihat
sshdaktivitas melalui:Anda akan melihat output seperti ini:
sumber
journalctl _SYSTEMD_UNIT=sshd.serviceperbedaannya yaitu hanya akan mendapatkan log untuk layanan tidak termasuk kemungkinan sshd lainnya (misalnya seseorang menjalankan server SSH lain secara paralel).Log sebenarnya terletak di / var / log / secure pada sistem RHEL. Koneksi SSHD akan terlihat seperti ini;
Bagian terpenting untuk menentukan apakah akun Anda telah disusupi atau tidak adalah Alamat IP.
sumber
Jika Anda menggunakan RHEL / CentOS 7, sistem Anda akan menggunakan systemd, dan karenanya journalctl. Seperti disebutkan di atas, Anda dapat menggunakan
journalctl _COMM=sshd. Namun, Anda juga harus dapat melihatnya dengan perintah berikut:Anda dapat memverifikasi versi redhat Anda dengan perintah berikut juga:
Ini akan menunjukkan kepada Anda informasi versi tentang versi linux Anda.
sumber
Periksa
/var/log/securelog Aman diputar sehingga Anda mungkin perlu mencari file sebelumnya juga. MISALNYA/var/log/secure-20190903Anda mungkin juga tertarik untuk mencari logfile untuk baris tertentu (Saya baru saja menggedor keyboard untuk menghasilkan alamat IP sampel tersebut jadi tolong jangan atribut terlalu banyak artinya bagi mereka)
sumber