ไฟล์บันทึก sshd อยู่ที่ไหนใน Red Hat Linux


33

ใครช่วยกรุณาบอกฉันที่จะหาบันทึก SSHD บน RedHat และ SELinux .... ฉันอยากจะดูบันทึกเพื่อดูว่าใครกำลังเข้าสู่บัญชีของฉัน ..


4
Sheesh - ถ้าคุณต้องถามว่า "ใครกำลังเข้าสู่บัญชีของฉัน" มันจบแล้ว ดูฉันจะจัดการกับเซิร์ฟเวอร์ที่ถูกบุกรุกได้อย่างไร
EEAA

2
เนื่องจากข้อเท็จจริงที่ว่า RHEL7 จะใช้ระบบการบันทึกที่แตกต่างกันคุณสามารถเพิ่มแท็กด้วยเวอร์ชันเฉพาะที่คุณใช้หรือไม่
Cristian Ciupitu

คำตอบ:


46

บันทึกการเข้าสู่ระบบมักจะอยู่ใน / var / log / secure ฉันไม่คิดว่าจะมีบันทึกที่เฉพาะเจาะจงสำหรับกระบวนการภูต SSH เว้นแต่คุณจะแยกมันออกจากข้อความ syslog อื่น ๆ


2
/ var / log / secure ไม่ได้มี ... มันเป็นสัญญาณที่ไม่ดี?
marcio

หากคุณใช้ Red Hat Enterprise Linux, Fedora หรืออนุพันธ์ RHEL เช่น CentOS ใช่แล้วนี่เป็นสัญญาณที่ไม่ดี บางสิ่งบางอย่างที่ไม่ถูกต้อง.
จอห์น

2
ผมเคยอ่านว่าฟางใช้ journalctl /var/log/secureแทน ด้วยjournalctl _COMM=sshdฉันสามารถเห็นกิจกรรม ssh ทั้งหมดและทุกอย่างดูเหมือนดี: D
marcio

6

นอกเหนือจาก @john answer แล้วการแจกแจงบางอย่างกำลังใช้ journalctl เป็นค่าเริ่มต้น หากเป็นกรณีของคุณคุณอาจเห็นsshdกิจกรรมผ่าน:

_> journalctl _COMM=sshd

คุณจะเห็นผลลัพธ์เช่นนี้:

Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.

1
นอกจากนี้ยังมีjournalctl _SYSTEMD_UNIT=sshd.serviceความแตกต่างที่จะได้รับเพียงบันทึกสำหรับบริการไม่รวมอินสแตนซ์sshd ที่เป็นไปได้อื่น ๆ(เช่นมีคนทำงานเซิร์ฟเวอร์ SSH อื่นในแบบคู่ขนาน)
Cristian Ciupitu

3

บันทึกนั้นอยู่ที่ / var / log / secure บนระบบ RHEL การเชื่อมต่อ SSHD จะมีลักษณะเช่นนี้

Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)

ส่วนที่สำคัญที่สุดในการพิจารณาว่าบัญชีของคุณถูกบุกรุกคือที่อยู่ IP หรือไม่


1

หากคุณใช้ RHEL / CentOS 7 ระบบของคุณจะใช้ systemd ดังนั้น journalctl journalctl _COMM=sshdดังกล่าวข้างต้นคุณสามารถใช้ อย่างไรก็ตามคุณควรจะสามารถดูสิ่งนี้ได้ด้วยคำสั่งต่อไปนี้:

# journalctl -u sshd

คุณสามารถตรวจสอบรุ่น redhat ของคุณได้ด้วยคำสั่งดังต่อไปนี้:

# cat /etc/*release

นี่จะแสดงข้อมูลเกี่ยวกับเวอร์ชั่นของ linux ของคุณ


0

เช็คเอาท์ /var/log/secure บันทึกการรักษาความปลอดภัยที่ได้รับการหมุนดังนั้นคุณอาจต้องค้นหาไฟล์ก่อนหน้าเช่นกัน เช่น/var/log/secure-20190903

คุณอาจสนใจในการค้นหา logfile สำหรับบรรทัดที่เฉพาะเจาะจง (ฉันเพิ่งกระแทกบนแป้นพิมพ์เพื่อสร้างที่อยู่ IP ตัวอย่างเหล่านั้นดังนั้นโปรดอย่าแอตทริบิวต์ความหมายมากเกินไปกับพวกเขา)

sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.