Quelqu'un peut-il me dire où se trouve le journal SSHD sur RedHat et SELinux .... J'aimerais consulter le journal pour voir qui se connecte à mon compte ..
Quelqu'un peut-il me dire où se trouve le journal SSHD sur RedHat et SELinux .... J'aimerais consulter le journal pour voir qui se connecte à mon compte ..
Réponses:
Les enregistrements de connexion se trouvent généralement dans / var / log / secure. Je ne pense pas qu'il existe un journal spécifique au processus du démon SSH, à moins que vous ne le sépariez d'autres messages syslog.
/var/log/secure
. Avec journalctl _COMM=sshd
j'ai pu voir toute l'activité ssh et tout semble
En plus de @john answer, certaines distributions utilisent maintenant journalctl par défaut. Si c'est votre cas, vous êtes probablement capable de voir l' sshd
activité à travers:
_> journalctl _COMM=sshd
Vous verrez la sortie comme ceci:
Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.
journalctl _SYSTEMD_UNIT=sshd.service
différence réside également dans le fait qu'il obtiendra uniquement les journaux du service, à l'exclusion des autres instances possibles de sshd (par exemple, quelqu'un exécute un autre serveur SSH en parallèle).
Le journal se trouve en fait dans / var / log / secure sur les systèmes RHEL. Une connexion SSHD ressemblera à quelque chose comme ça;
Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)
L'adresse IP est la partie la plus importante pour déterminer si votre compte a été compromis ou non.
Si vous utilisez RHEL / CentOS 7, votre système utilisera systemd et donc journalctl. Comme mentionné ci-dessus, vous pouvez utiliser lejournalctl _COMM=sshd
. Cependant, vous devriez aussi pouvoir voir ceci avec la commande suivante:
# journalctl -u sshd
Vous pouvez également vérifier votre version de redhat à l'aide de la commande suivante:
# cat /etc/*release
Cela vous montrera des informations sur la version de votre version de linux.
Vérifiez que les /var/log/secure
journaux sécurisés sont soumis à une rotation, de sorte que vous devrez peut-être également rechercher les fichiers précédents. PAR EXEMPLE/var/log/secure-20190903
Vous pouvez également être intéressé par la recherche de lignes spécifiques dans le fichier journal (je viens de frapper sur le clavier pour générer ces exemples d’adresses IP, donc veuillez ne pas leur attribuer trop de signification)
sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*