web-dev-qa-db-fra.com

Où est stocké le fichier journal sshd sur Red Hat Linux?

Quelqu'un peut-il me dire où trouver le journal SSHD sur RedHat et SELinux .... Je voudrais consulter le journal pour voir qui se connecte à mon compte ..

33
user150591

Les enregistrements de connexion se trouvent généralement dans/var/log/secure. Je ne pense pas qu'il existe un journal spécifique au processus du démon SSH, à moins que vous ne l'ayez séparé des autres messages syslog.

46
John

En plus de la réponse @john, certaines distributions utilisent désormais journalctl par défaut. Si tel est votre cas, vous pouvez probablement voir l'activité de sshd via:

_> journalctl _COMM=sshd

Vous verrez une sortie comme celle-ci:

Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.
6
marcio

Le journal est en fait situé dans/var/log/secure sur les systèmes RHEL. Une connexion SSHD ressemblera à ceci;

Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)

L'adresse IP est l'élément le plus important pour déterminer si votre compte a été compromis ou non.

3
Ethabelle

Si vous utilisez RHEL/CentOS 7, votre système utilisera systemd, et donc journalctl. Comme mentionné ci-dessus, vous pouvez utiliser le journalctl _COMM=sshd. Cependant, vous devriez également pouvoir visualiser cela avec la commande suivante:

# journalctl -u sshd

Vous pouvez également vérifier votre version de redhat à l'aide de la commande suivante:

# cat /etc/*release

Cela vous montrera les informations de version sur votre version de Linux.

1
86bornprgmr

Check-out /var/log/secure Les journaux sécurisés subissent une rotation, vous devrez peut-être également rechercher les fichiers précédents. PAR EXEMPLE. /var/log/secure-20190903

Vous pouvez également être intéressé par la recherche dans le fichier journal de lignes spécifiques (je viens de frapper sur le clavier pour générer ces exemples d'adresses IP, alors s'il vous plaît ne leur attribuez pas trop de sens)

Sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*
0
joar