Red Hat Linux पर sshd लॉग फाइल कहाँ संग्रहीत है?

33

क्या कोई मुझे बता सकता है कि RedHat और SELinux पर SSHD लॉग कहाँ मिलेगा .... मैं लॉग देखना चाहूंगा कि कौन मेरे अकाउंट में लॉग इन कर रहा है ..

— user150591
स्रोत

4

शीश - अगर आपको पूछना है "मेरे खाते में कौन प्रवेश कर रहा है", यह पहले से ही खत्म हो गया है। देखें कि मैं एक समझौता किए गए सर्वर के साथ कैसे व्यवहार करता हूं ।

— EEAA

2

इस तथ्य को देखते हुए कि RHEL7 एक अलग लॉगिंग सिस्टम का उपयोग करेगा, क्या आप उस विशिष्ट संस्करण के साथ एक टैग जोड़ सकते हैं जिसका आप उपयोग कर रहे हैं?

— क्रिस्टियन सियुपिटु

46

लॉगिन रिकॉर्ड आमतौर पर / var / लॉग / सुरक्षित हैं। मुझे नहीं लगता कि SSH डेमॉन प्रक्रिया के लिए कोई लॉग विशिष्ट है, जब तक कि आप इसे अन्य syslog संदेशों से तोड़ नहीं चुके हैं।

— जॉन
स्रोत

2

/ var / लॉग / सिक्योर नहीं है ... क्या यह एक बुरा संकेत है?

— मार्शियो

यदि आप Red Hat Enterprise Linux, Fedora या RHEL व्युत्पन्न पर CentOS की तरह हैं, तो हाँ, यह एक बुरा संकेत है। कुछ गड़बड़ है।

— जॉन

2

मैंने पढ़ा है कि फेडोरा इसके बजाय जर्नलक्ट का उपयोग करता है /var/log/secure। साथ journalctl _COMM=sshdमैं सभी ssh गतिविधि देख सकते हैं और सब कुछ ठीक लग रहा है: डी

— मार्शियो

6

@ जॉन्ह उत्तर के अलावा, कुछ वितरण अब डिफ़ॉल्ट रूप से जर्नलक्ट का उपयोग कर रहे हैं। यदि आपका मामला ऐसा है, तो आप संभवतः इसके sshdमाध्यम से गतिविधि देख सकते हैं :

_> journalctl _COMM=sshd

आप इस तरह से आउटपुट देखेंगे:

Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.

— मार्शियो
स्रोत

1

यह भी journalctl _SYSTEMD_UNIT=sshd.serviceअंतर है कि यह किसी अन्य संभावित sshd इंस्टेंस को छोड़कर सेवा के लिए केवल लॉग प्राप्त करेगा (उदाहरण के लिए कोई समानांतर में एक और SSH सर्वर चलाता है)।

— क्रिस्टियन सियुपिटु

3

लॉग वास्तव में / var / लॉग / आरएचईएल सिस्टम पर सुरक्षित है। SSHD कनेक्शन कुछ इस तरह दिखेगा;

Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)

यह निर्धारित करने के लिए सबसे महत्वपूर्ण हिस्सा है कि आपके खाते से समझौता किया गया है या नहीं, आईपी एड्रेस है।

— Ethabelle
स्रोत

1

यदि आप RHEL / CentOS 7 का उपयोग कर रहे हैं, तो आपका सिस्टम systemd, और इसलिए journalctl का उपयोग करेगा। जैसा कि ऊपर उल्लेख किया गया है, आप उपयोग कर सकते हैं journalctl _COMM=sshd। हालाँकि, आपको इसे निम्न कमांड के साथ देखने में सक्षम होना चाहिए:

# journalctl -u sshd

आप निम्न कमांड के द्वारा भी अपने redhat के संस्करण को सत्यापित कर सकते हैं:

# cat /etc/*release

यह आपको अपने लिनक्स के संस्करण के बारे में जानकारी दिखाएगा।

— 86bornprgmr
स्रोत

0

बाहर की जाँच करें /var/log/secure सुरक्षित लॉग को घुमाया जाता है ताकि आपको पिछली फ़ाइलों को भी खोजना पड़े। ईजी/var/log/secure-20190903

आप विशिष्ट लाइनों के लिए लॉगफ़ाइल की खोज करने में भी दिलचस्पी ले सकते हैं (मैं बस उन नमूना आईपी पतों को उत्पन्न करने के लिए कीबोर्ड पर धमाका करता हूं, इसलिए कृपया उन्हें बहुत अधिक अर्थ न दें)

sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*

— Joar
स्रोत