Wo ist die sshd-Protokolldatei unter Red Hat Linux gespeichert?

33

Kann mir jemand bitte sagen, wo ich das SSHD-Protokoll auf RedHat und SELinux finde? Ich möchte das Protokoll anzeigen, um zu sehen, wer sich in meinem Konto anmeldet.

user150591
quelle
4
Meine Güte, wenn Sie fragen müssen, wer sich in meinem Konto anmeldet, ist das Spiel bereits vorbei. Siehe Wie kann ich mit einem kompromittierten Server umgehen .
EEAA
2
Könnten Sie angesichts der Tatsache, dass RHEL7 ein anderes Protokollierungssystem verwendet, ein Tag mit der von Ihnen verwendeten spezifischen Version hinzufügen?
Cristian Ciupitu

Antworten:

46

Anmeldedatensätze befinden sich normalerweise in / var / log / secure. Ich glaube nicht, dass es ein spezielles Protokoll für den SSH-Dämonprozess gibt, es sei denn, Sie haben es aus anderen Syslog-Nachrichten herausgelöst.

John
quelle
2
/ var / log / secure gibt es nicht ... ist es ein schlechtes Zeichen?
Marcio
Wenn Sie unter Red Hat Enterprise Linux, Fedora oder einem RHEL-Derivat wie CentOS arbeiten, ist dies ein schlechtes Zeichen. Irgendwas stimmt nicht.
John
2
Ich habe gelesen, dass Fedora statt journalctl verwendet /var/log/secure. Mit journalctl _COMM=sshdIch konnte all ssh - Aktivität und alles scheint in Ordnung: D
marcio
6

Zusätzlich zu @john answer verwenden einige Distributionen jetzt standardmäßig journalctl. Wenn dies Ihr Fall ist, können Sie die sshdAktivität wahrscheinlich durch Folgendes verfolgen:

_> journalctl _COMM=sshd

Sie sehen die Ausgabe wie folgt:

Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.
marcio
quelle
1
Der journalctl _SYSTEMD_UNIT=sshd.serviceUnterschied besteht auch darin, dass nur die Protokolle für den Dienst ohne andere mögliche sshd- Instanzen abgerufen werden (zum Beispiel, wenn jemand einen anderen SSH-Server parallel betreibt).
Cristian Ciupitu
3

Das Protokoll befindet sich auf RHEL-Systemen unter / var / log / secure. Eine SSHD-Verbindung sieht ungefähr so ​​aus.

Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)

Der wichtigste Teil, um festzustellen, ob Ihr Konto kompromittiert wurde oder nicht, ist die IP-Adresse.

Ethabelle
quelle
1

Wenn Sie RHEL / CentOS 7 verwenden, verwendet Ihr System systemd und daher journalctl. Wie oben erwähnt, können Sie die journalctl _COMM=sshd. Sie sollten dies jedoch auch mit dem folgenden Befehl anzeigen können:

# journalctl -u sshd

Sie können Ihre Version von RedHat auch mit dem folgenden Befehl überprüfen:

# cat /etc/*release

Daraufhin werden Ihnen Versionsinformationen zu Ihrer Linux-Version angezeigt.

86bornprgmr
quelle
0

Auschecken /var/log/secure Sichere Protokolle werden gedreht, sodass Sie möglicherweise auch frühere Dateien durchsuchen müssen. Z.B/var/log/secure-20190903

Sie könnten auch daran interessiert sein, das Logfile nach bestimmten Zeilen zu durchsuchen.

sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*
joar
quelle