Où le fichier journal sshd sur Red Hat Linux est-il stocké?
33
Quelqu'un peut-il me dire où se trouve le journal SSHD sur RedHat et SELinux .... J'aimerais consulter le journal pour voir qui se connecte à mon compte ..
Étant donné que RHEL7 utilisera un système de journalisation différent, pouvez-vous ajouter une balise avec la version spécifique que vous utilisez?
Cristian Ciupitu
Réponses:
46
Les enregistrements de connexion se trouvent généralement dans / var / log / secure. Je ne pense pas qu'il existe un journal spécifique au processus du démon SSH, à moins que vous ne le sépariez d'autres messages syslog.
/ var / log / secure n'est pas là ... est-ce un mauvais signe?
Marcio
Si vous utilisez Red Hat Enterprise Linux, Fedora ou un dérivé de RHEL tel que CentOS, alors c'est un mauvais signe. Quelque chose ne va pas.
Jean
2
J'ai lu que fedora utilise journalctl au lieu de /var/log/secure. Avec journalctl _COMM=sshdj'ai pu voir toute l'activité ssh et tout semble
aller
6
En plus de @john answer, certaines distributions utilisent maintenant journalctl par défaut. Si c'est votre cas, vous êtes probablement capable de voir l' sshdactivité à travers:
_> journalctl _COMM=sshd
Vous verrez la sortie comme ceci:
Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.
La journalctl _SYSTEMD_UNIT=sshd.servicedifférence réside également dans le fait qu'il obtiendra uniquement les journaux du service, à l'exclusion des autres instances possibles de sshd (par exemple, quelqu'un exécute un autre serveur SSH en parallèle).
Cristian Ciupitu
3
Le journal se trouve en fait dans / var / log / secure sur les systèmes RHEL. Une connexion SSHD ressemblera à quelque chose comme ça;
Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)
L'adresse IP est la partie la plus importante pour déterminer si votre compte a été compromis ou non.
Si vous utilisez RHEL / CentOS 7, votre système utilisera systemd et donc journalctl. Comme mentionné ci-dessus, vous pouvez utiliser lejournalctl _COMM=sshd . Cependant, vous devriez aussi pouvoir voir ceci avec la commande suivante:
# journalctl -u sshd
Vous pouvez également vérifier votre version de redhat à l'aide de la commande suivante:
# cat /etc/*release
Cela vous montrera des informations sur la version de votre version de linux.
Vérifiez que les /var/log/secure
journaux sécurisés sont soumis à une rotation, de sorte que vous devrez peut-être également rechercher les fichiers précédents. PAR EXEMPLE/var/log/secure-20190903
Vous pouvez également être intéressé par la recherche de lignes spécifiques dans le fichier journal (je viens de frapper sur le clavier pour générer ces exemples d’adresses IP, donc veuillez ne pas leur attribuer trop de signification)
Réponses:
Les enregistrements de connexion se trouvent généralement dans / var / log / secure. Je ne pense pas qu'il existe un journal spécifique au processus du démon SSH, à moins que vous ne le sépariez d'autres messages syslog.
la source
/var/log/secure. Avecjournalctl _COMM=sshdj'ai pu voir toute l'activité ssh et tout sembleEn plus de @john answer, certaines distributions utilisent maintenant journalctl par défaut. Si c'est votre cas, vous êtes probablement capable de voir l'
sshdactivité à travers:Vous verrez la sortie comme ceci:
la source
journalctl _SYSTEMD_UNIT=sshd.servicedifférence réside également dans le fait qu'il obtiendra uniquement les journaux du service, à l'exclusion des autres instances possibles de sshd (par exemple, quelqu'un exécute un autre serveur SSH en parallèle).Le journal se trouve en fait dans / var / log / secure sur les systèmes RHEL. Une connexion SSHD ressemblera à quelque chose comme ça;
L'adresse IP est la partie la plus importante pour déterminer si votre compte a été compromis ou non.
la source
Si vous utilisez RHEL / CentOS 7, votre système utilisera systemd et donc journalctl. Comme mentionné ci-dessus, vous pouvez utiliser le
journalctl _COMM=sshd. Cependant, vous devriez aussi pouvoir voir ceci avec la commande suivante:Vous pouvez également vérifier votre version de redhat à l'aide de la commande suivante:
Cela vous montrera des informations sur la version de votre version de linux.
la source
Vérifiez que les
/var/log/securejournaux sécurisés sont soumis à une rotation, de sorte que vous devrez peut-être également rechercher les fichiers précédents. PAR EXEMPLE/var/log/secure-20190903Vous pouvez également être intéressé par la recherche de lignes spécifiques dans le fichier journal (je viens de frapper sur le clavier pour générer ces exemples d’adresses IP, donc veuillez ne pas leur attribuer trop de signification)
la source