Wo ist die sshd-Protokolldatei unter Red Hat Linux gespeichert?
33
Kann mir jemand bitte sagen, wo ich das SSHD-Protokoll auf RedHat und SELinux finde? Ich möchte das Protokoll anzeigen, um zu sehen, wer sich in meinem Konto anmeldet.
Könnten Sie angesichts der Tatsache, dass RHEL7 ein anderes Protokollierungssystem verwendet, ein Tag mit der von Ihnen verwendeten spezifischen Version hinzufügen?
Cristian Ciupitu
Antworten:
46
Anmeldedatensätze befinden sich normalerweise in / var / log / secure. Ich glaube nicht, dass es ein spezielles Protokoll für den SSH-Dämonprozess gibt, es sei denn, Sie haben es aus anderen Syslog-Nachrichten herausgelöst.
/ var / log / secure gibt es nicht ... ist es ein schlechtes Zeichen?
Marcio
Wenn Sie unter Red Hat Enterprise Linux, Fedora oder einem RHEL-Derivat wie CentOS arbeiten, ist dies ein schlechtes Zeichen. Irgendwas stimmt nicht.
John
2
Ich habe gelesen, dass Fedora statt journalctl verwendet /var/log/secure. Mit journalctl _COMM=sshdIch konnte all ssh - Aktivität und alles scheint in Ordnung: D
marcio
6
Zusätzlich zu @john answer verwenden einige Distributionen jetzt standardmäßig journalctl. Wenn dies Ihr Fall ist, können Sie die sshdAktivität wahrscheinlich durch Folgendes verfolgen:
_> journalctl _COMM=sshd
Sie sehen die Ausgabe wie folgt:
Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.
Der journalctl _SYSTEMD_UNIT=sshd.serviceUnterschied besteht auch darin, dass nur die Protokolle für den Dienst ohne andere mögliche sshd- Instanzen abgerufen werden (zum Beispiel, wenn jemand einen anderen SSH-Server parallel betreibt).
Cristian Ciupitu
3
Das Protokoll befindet sich auf RHEL-Systemen unter / var / log / secure. Eine SSHD-Verbindung sieht ungefähr so aus.
Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)
Der wichtigste Teil, um festzustellen, ob Ihr Konto kompromittiert wurde oder nicht, ist die IP-Adresse.
Wenn Sie RHEL / CentOS 7 verwenden, verwendet Ihr System systemd und daher journalctl. Wie oben erwähnt, können Sie die journalctl _COMM=sshd. Sie sollten dies jedoch auch mit dem folgenden Befehl anzeigen können:
# journalctl -u sshd
Sie können Ihre Version von RedHat auch mit dem folgenden Befehl überprüfen:
# cat /etc/*release
Daraufhin werden Ihnen Versionsinformationen zu Ihrer Linux-Version angezeigt.
Auschecken /var/log/secure
Sichere Protokolle werden gedreht, sodass Sie möglicherweise auch frühere Dateien durchsuchen müssen. Z.B/var/log/secure-20190903
Sie könnten auch daran interessiert sein, das Logfile nach bestimmten Zeilen zu durchsuchen.
Antworten:
Anmeldedatensätze befinden sich normalerweise in / var / log / secure. Ich glaube nicht, dass es ein spezielles Protokoll für den SSH-Dämonprozess gibt, es sei denn, Sie haben es aus anderen Syslog-Nachrichten herausgelöst.
quelle
/var/log/secure. Mitjournalctl _COMM=sshdIch konnte all ssh - Aktivität und alles scheint in Ordnung: DZusätzlich zu @john answer verwenden einige Distributionen jetzt standardmäßig journalctl. Wenn dies Ihr Fall ist, können Sie die
sshdAktivität wahrscheinlich durch Folgendes verfolgen:Sie sehen die Ausgabe wie folgt:
quelle
journalctl _SYSTEMD_UNIT=sshd.serviceUnterschied besteht auch darin, dass nur die Protokolle für den Dienst ohne andere mögliche sshd- Instanzen abgerufen werden (zum Beispiel, wenn jemand einen anderen SSH-Server parallel betreibt).Das Protokoll befindet sich auf RHEL-Systemen unter / var / log / secure. Eine SSHD-Verbindung sieht ungefähr so aus.
Der wichtigste Teil, um festzustellen, ob Ihr Konto kompromittiert wurde oder nicht, ist die IP-Adresse.
quelle
Wenn Sie RHEL / CentOS 7 verwenden, verwendet Ihr System systemd und daher journalctl. Wie oben erwähnt, können Sie die
journalctl _COMM=sshd. Sie sollten dies jedoch auch mit dem folgenden Befehl anzeigen können:Sie können Ihre Version von RedHat auch mit dem folgenden Befehl überprüfen:
Daraufhin werden Ihnen Versionsinformationen zu Ihrer Linux-Version angezeigt.
quelle
Auschecken
/var/log/secureSichere Protokolle werden gedreht, sodass Sie möglicherweise auch frühere Dateien durchsuchen müssen. Z.B/var/log/secure-20190903Sie könnten auch daran interessiert sein, das Logfile nach bestimmten Zeilen zu durchsuchen.
quelle