Red Hat Linux'taki sshd log dosyası nerede saklanıyor?


33

Birisi lütfen bana RedHat ve SELinux’da SSHD günlüğünü nerede bulacağını söyler mi?


4
Sheesh - "Hesabıma kimin girdiğini" sormak zorundaysanız, oyun bitti. Bkz Ben tehlikeye sunucu ile nasıl başa .
EEAA

2
RHEL7'nin farklı bir kayıt sistemi kullanacağı gerçeği göz önüne alındığında, kullandığınız belirli sürüme bir etiket ekleyebilir misiniz?
Cristian Ciupitu

Yanıtlar:


46

Giriş kayıtları genellikle / var / log / secure'dedir. Diğer syslog iletilerinden ayırmadığınız sürece, SSH daemon sürecine özgü bir günlük olduğunu sanmıyorum.


2
/ var / log / secure yok ... kötü bir işaret mi?
marcio

Red Hat Enterprise Linux, Fedora veya CentOS gibi bir RHEL türevindeyseniz, evet, bu kötü bir işarettir. Bir şey yanlış.
John

2
Fedora'nın yerine journalctl kullandığını okudum /var/log/secure. İle journalctl _COMM=sshdtüm ssh etkinliğini görebiliyordu ve her şey iyi görünüyor: D
marcio

6

@John cevabına ek olarak, bazı dağıtımlar şimdi varsayılan olarak journalctl kullanıyor. Bu senin durumunsa, muhtemelen sshdaktivitelerini şu şekilde görebilirsin :

_> journalctl _COMM=sshd

Bunun gibi bir çıktı göreceksiniz:

Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.

1
Aradaki journalctl _SYSTEMD_UNIT=sshd.servicefark, diğer olası sshd örnekleri hariç olmak üzere yalnızca hizmet için günlükleri alacağıdır (örneğin, birisi paralel olarak başka bir SSH sunucusunu çalıştırır).
Cristian Ciupitu

3

Kütük aslında RHEL sistemlerinde / var / log / secure'de bulunur. Bir SSHD bağlantısı böyle bir şeye benzeyecek;

Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)

Hesabınızın tehlikeye atılıp atılmadığını belirlemenin en önemli kısmı IP Adresidir.


1

RHEL / CentOS 7 kullanıyorsanız, sisteminiz systemd ve dolayısıyla journalctl kullanacaktır. Yukarıda belirtildiği gibi kullanabilirsiniz journalctl _COMM=sshd. Bununla birlikte, aşağıdaki komutu kullanarak da bunu görebilmelisiniz:

# journalctl -u sshd

Redhat sürümünüzü aşağıdaki komutla da doğrulayabilirsiniz:

# cat /etc/*release

Bu, linux sürümünüzle ilgili sürüm bilgilerini gösterir.


0

Check out /var/log/secure Eğer sıra önceki dosyaları arama gerekebilir böylece Güvenli günlükleri döndürülmüş olsun. ÖRNEĞİN/var/log/secure-20190903

Ayrıca, belirli satırlar için günlük dosyasını aramakla da ilgilenebilirsiniz (bu örnek ip adreslerini oluşturmak için sadece klavyeye çarptım, lütfen onlara çok fazla anlam atmayın).

sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.