Considerando que o RHEL7 usará um sistema de log diferente, você poderia adicionar uma tag com a versão específica que está usando?
Cristian Ciupitu
Respostas:
46
Os registros de logon geralmente estão em / var / log / secure. Eu não acho que exista um log específico para o processo daemon SSH, a menos que você o tenha quebrado de outras mensagens syslog.
/ var / log / secure não existe ... é um sinal ruim?
Marcio
Se você usa o Red Hat Enterprise Linux, Fedora ou um derivado RHEL como o CentOS, então sim, isso é um mau sinal. Algo está errado.
João
2
Eu li que o fedora usa journalctl em vez de /var/log/secure. Com journalctl _COMM=sshdpude ver toda a atividade ssh e tudo parece bem: D
marcio
6
Além da resposta @john, algumas distribuições agora estão usando journalctl por padrão. Se esse for o seu caso, você provavelmente poderá ver a sshdatividade através de:
_> journalctl _COMM=sshd
Você verá uma saída como esta:
Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.
Também existe journalctl _SYSTEMD_UNIT=sshd.servicea diferença: ele obterá apenas os logs do serviço, excluindo outras instâncias sshd possíveis (por exemplo, alguém executa outro servidor SSH em paralelo).
Cristian Ciupitu
3
De fato, o log está localizado em / var / log / secure nos sistemas RHEL. Uma conexão SSHD será mais ou menos assim;
Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)
A parte mais importante para determinar se sua conta foi ou não comprometida é o endereço IP.
Se você estiver usando o RHEL / CentOS 7, seu sistema usará systemd e, portanto, journalctl. Como mencionado acima, você pode usar o journalctl _COMM=sshd. No entanto, você também deve poder visualizar isso com o seguinte comando:
# journalctl -u sshd
Você pode verificar sua versão do redhat pelo seguinte comando:
# cat /etc/*release
Isto irá mostrar informações sobre a sua versão do Linux.
Confira /var/log/secure
Registros seguros girados para que você também precise pesquisar arquivos anteriores. POR EXEMPLO/var/log/secure-20190903
Você também pode estar interessado em procurar linhas específicas no arquivo de log (eu apenas pressionei o teclado para gerar esses endereços IP de amostra, portanto, não lhes atribua muito significado)
Respostas:
Os registros de logon geralmente estão em / var / log / secure. Eu não acho que exista um log específico para o processo daemon SSH, a menos que você o tenha quebrado de outras mensagens syslog.
fonte
/var/log/secure
. Comjournalctl _COMM=sshd
pude ver toda a atividade ssh e tudo parece bem: DAlém da resposta @john, algumas distribuições agora estão usando journalctl por padrão. Se esse for o seu caso, você provavelmente poderá ver a
sshd
atividade através de:Você verá uma saída como esta:
fonte
journalctl _SYSTEMD_UNIT=sshd.service
a diferença: ele obterá apenas os logs do serviço, excluindo outras instâncias sshd possíveis (por exemplo, alguém executa outro servidor SSH em paralelo).De fato, o log está localizado em / var / log / secure nos sistemas RHEL. Uma conexão SSHD será mais ou menos assim;
A parte mais importante para determinar se sua conta foi ou não comprometida é o endereço IP.
fonte
Se você estiver usando o RHEL / CentOS 7, seu sistema usará systemd e, portanto, journalctl. Como mencionado acima, você pode usar o
journalctl _COMM=sshd
. No entanto, você também deve poder visualizar isso com o seguinte comando:Você pode verificar sua versão do redhat pelo seguinte comando:
Isto irá mostrar informações sobre a sua versão do Linux.
fonte
Confira
/var/log/secure
Registros seguros girados para que você também precise pesquisar arquivos anteriores. POR EXEMPLO/var/log/secure-20190903
Você também pode estar interessado em procurar linhas específicas no arquivo de log (eu apenas pressionei o teclado para gerar esses endereços IP de amostra, portanto, não lhes atribua muito significado)
fonte