क्या कोई मुझे बता सकता है कि RedHat और SELinux पर SSHD लॉग कहाँ मिलेगा .... मैं लॉग देखना चाहूंगा कि कौन मेरे अकाउंट में लॉग इन कर रहा है ..
क्या कोई मुझे बता सकता है कि RedHat और SELinux पर SSHD लॉग कहाँ मिलेगा .... मैं लॉग देखना चाहूंगा कि कौन मेरे अकाउंट में लॉग इन कर रहा है ..
जवाबों:
लॉगिन रिकॉर्ड आमतौर पर / var / लॉग / सुरक्षित हैं। मुझे नहीं लगता कि SSH डेमॉन प्रक्रिया के लिए कोई लॉग विशिष्ट है, जब तक कि आप इसे अन्य syslog संदेशों से तोड़ नहीं चुके हैं।
/var/log/secure
। साथ journalctl _COMM=sshd
मैं सभी ssh गतिविधि देख सकते हैं और सब कुछ ठीक लग रहा है: डी
@ जॉन्ह उत्तर के अलावा, कुछ वितरण अब डिफ़ॉल्ट रूप से जर्नलक्ट का उपयोग कर रहे हैं। यदि आपका मामला ऐसा है, तो आप संभवतः इसके sshd
माध्यम से गतिविधि देख सकते हैं :
_> journalctl _COMM=sshd
आप इस तरह से आउटपुट देखेंगे:
Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.
journalctl _SYSTEMD_UNIT=sshd.service
अंतर है कि यह किसी अन्य संभावित sshd इंस्टेंस को छोड़कर सेवा के लिए केवल लॉग प्राप्त करेगा (उदाहरण के लिए कोई समानांतर में एक और SSH सर्वर चलाता है)।
लॉग वास्तव में / var / लॉग / आरएचईएल सिस्टम पर सुरक्षित है। SSHD कनेक्शन कुछ इस तरह दिखेगा;
Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)
यह निर्धारित करने के लिए सबसे महत्वपूर्ण हिस्सा है कि आपके खाते से समझौता किया गया है या नहीं, आईपी एड्रेस है।
यदि आप RHEL / CentOS 7 का उपयोग कर रहे हैं, तो आपका सिस्टम systemd, और इसलिए journalctl का उपयोग करेगा। जैसा कि ऊपर उल्लेख किया गया है, आप उपयोग कर सकते हैं journalctl _COMM=sshd
। हालाँकि, आपको इसे निम्न कमांड के साथ देखने में सक्षम होना चाहिए:
# journalctl -u sshd
आप निम्न कमांड के द्वारा भी अपने redhat के संस्करण को सत्यापित कर सकते हैं:
# cat /etc/*release
यह आपको अपने लिनक्स के संस्करण के बारे में जानकारी दिखाएगा।
बाहर की जाँच करें /var/log/secure
सुरक्षित लॉग को घुमाया जाता है ताकि आपको पिछली फ़ाइलों को भी खोजना पड़े। ईजी/var/log/secure-20190903
आप विशिष्ट लाइनों के लिए लॉगफ़ाइल की खोज करने में भी दिलचस्पी ले सकते हैं (मैं बस उन नमूना आईपी पतों को उत्पन्न करने के लिए कीबोर्ड पर धमाका करता हूं, इसलिए कृपया उन्हें बहुत अधिक अर्थ न दें)
sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*