¿Dónde se almacena el archivo de registro sshd en Red Hat Linux?
33
¿Puede alguien decirme dónde encontrar el registro SSHD en RedHat y SELinux ... Me gustaría ver el registro para ver quién inicia sesión en mi cuenta ...
Dado el hecho de que RHEL7 usará un sistema de registro diferente, ¿podría agregar una etiqueta con la versión específica que está usando?
Cristian Ciupitu
Respuestas:
46
Los registros de inicio de sesión suelen estar en / var / log / secure. No creo que haya un registro específico para el proceso del demonio SSH, a menos que lo haya separado de otros mensajes de syslog.
/ var / log / secure no está allí ... ¿es una mala señal?
marcio
Si está en Red Hat Enterprise Linux, Fedora o un derivado RHEL como CentOS, entonces sí, esta es una mala señal. Algo está mal.
John
2
He leído que fedora usa journalctl en lugar de /var/log/secure. Con journalctl _COMM=sshdpude ver toda la actividad de ssh y todo parece estar bien: D
marcio
6
Además de @john answer, algunas distribuciones ahora usan journalctl de forma predeterminada. Si ese es tu caso, probablemente puedas ver la sshdactividad a través de:
_> journalctl _COMM=sshd
Verá resultados como este:
Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.
También existe journalctl _SYSTEMD_UNIT=sshd.servicela diferencia de que solo obtendrá los registros del servicio, excluyendo cualquier otra instancia sshd posible (por ejemplo, alguien ejecuta otro servidor SSH en paralelo).
Cristian Ciupitu
3
De hecho, el registro se encuentra en / var / log / secure en los sistemas RHEL. Una conexión SSHD se verá más o menos así;
Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)
La parte más importante para determinar si su cuenta ha sido comprometida o no es la dirección IP.
Si está utilizando RHEL / CentOS 7, su sistema utilizará systemd y, por lo tanto, journalctl. Como se mencionó anteriormente, puede usar el journalctl _COMM=sshd. Sin embargo, también debería poder ver esto con el siguiente comando:
# journalctl -u sshd
También puedes verificar tu versión de redhat con el siguiente comando:
# cat /etc/*release
Esto le mostrará información sobre la versión de su versión de Linux.
Echa un vistazo a /var/log/secure
Los registros seguros se rotan, por lo que es posible que también necesites buscar archivos anteriores. P.EJ/var/log/secure-20190903
También puede estar interesado en buscar en el archivo de registro líneas específicas (acabo de golpear el teclado para generar esas direcciones IP de muestra, así que no les atribuya demasiado significado)
Respuestas:
Los registros de inicio de sesión suelen estar en / var / log / secure. No creo que haya un registro específico para el proceso del demonio SSH, a menos que lo haya separado de otros mensajes de syslog.
fuente
/var/log/secure. Conjournalctl _COMM=sshdpude ver toda la actividad de ssh y todo parece estar bien: DAdemás de @john answer, algunas distribuciones ahora usan journalctl de forma predeterminada. Si ese es tu caso, probablemente puedas ver la
sshdactividad a través de:Verá resultados como este:
fuente
journalctl _SYSTEMD_UNIT=sshd.servicela diferencia de que solo obtendrá los registros del servicio, excluyendo cualquier otra instancia sshd posible (por ejemplo, alguien ejecuta otro servidor SSH en paralelo).De hecho, el registro se encuentra en / var / log / secure en los sistemas RHEL. Una conexión SSHD se verá más o menos así;
La parte más importante para determinar si su cuenta ha sido comprometida o no es la dirección IP.
fuente
Si está utilizando RHEL / CentOS 7, su sistema utilizará systemd y, por lo tanto, journalctl. Como se mencionó anteriormente, puede usar el
journalctl _COMM=sshd. Sin embargo, también debería poder ver esto con el siguiente comando:También puedes verificar tu versión de redhat con el siguiente comando:
Esto le mostrará información sobre la versión de su versión de Linux.
fuente
Echa un vistazo a
/var/log/secureLos registros seguros se rotan, por lo que es posible que también necesites buscar archivos anteriores. P.EJ/var/log/secure-20190903También puede estar interesado en buscar en el archivo de registro líneas específicas (acabo de golpear el teclado para generar esas direcciones IP de muestra, así que no les atribuya demasiado significado)
fuente