Où le fichier journal sshd sur Red Hat Linux est-il stocké?


33

Quelqu'un peut-il me dire où se trouve le journal SSHD sur RedHat et SELinux .... J'aimerais consulter le journal pour voir qui se connecte à mon compte ..


4
Sheesh - si vous devez demander "qui se connecte à mon compte", c'est déjà fini. Voir Comment gérer un serveur compromis .
EEAA

2
Étant donné que RHEL7 utilisera un système de journalisation différent, pouvez-vous ajouter une balise avec la version spécifique que vous utilisez?
Cristian Ciupitu

Réponses:


46

Les enregistrements de connexion se trouvent généralement dans / var / log / secure. Je ne pense pas qu'il existe un journal spécifique au processus du démon SSH, à moins que vous ne le sépariez d'autres messages syslog.


2
/ var / log / secure n'est pas là ... est-ce un mauvais signe?
Marcio

Si vous utilisez Red Hat Enterprise Linux, Fedora ou un dérivé de RHEL tel que CentOS, alors c'est un mauvais signe. Quelque chose ne va pas.
Jean

2
J'ai lu que fedora utilise journalctl au lieu de /var/log/secure. Avec journalctl _COMM=sshdj'ai pu voir toute l'activité ssh et tout semble
aller

6

En plus de @john answer, certaines distributions utilisent maintenant journalctl par défaut. Si c'est votre cas, vous êtes probablement capable de voir l' sshdactivité à travers:

_> journalctl _COMM=sshd

Vous verrez la sortie comme ceci:

Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.

1
La journalctl _SYSTEMD_UNIT=sshd.servicedifférence réside également dans le fait qu'il obtiendra uniquement les journaux du service, à l'exclusion des autres instances possibles de sshd (par exemple, quelqu'un exécute un autre serveur SSH en parallèle).
Cristian Ciupitu

3

Le journal se trouve en fait dans / var / log / secure sur les systèmes RHEL. Une connexion SSHD ressemblera à quelque chose comme ça;

Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)

L'adresse IP est la partie la plus importante pour déterminer si votre compte a été compromis ou non.


1

Si vous utilisez RHEL / CentOS 7, votre système utilisera systemd et donc journalctl. Comme mentionné ci-dessus, vous pouvez utiliser lejournalctl _COMM=sshd . Cependant, vous devriez aussi pouvoir voir ceci avec la commande suivante:

# journalctl -u sshd

Vous pouvez également vérifier votre version de redhat à l'aide de la commande suivante:

# cat /etc/*release

Cela vous montrera des informations sur la version de votre version de linux.


0

Vérifiez que les /var/log/secure journaux sécurisés sont soumis à une rotation, de sorte que vous devrez peut-être également rechercher les fichiers précédents. PAR EXEMPLE/var/log/secure-20190903

Vous pouvez également être intéressé par la recherche de lignes spécifiques dans le fichier journal (je viens de frapper sur le clavier pour générer ces exemples d’adresses IP, donc veuillez ne pas leur attribuer trop de signification)

sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.