Soru Red Hat Linux'taki sshd log dosyası nerede saklanıyor?


Birisi bana RedHat ve SELinux'da SSHD günlüğünü nerede bulabileceğimi söyler… Günlüğümü, hesabımda kimin giriş yaptığını görmek için görmek isterim.


28
2018-01-10 15:28


Menşei


Sheesh - "hesabıma kimin giriş yaptığını" sormanız gerekirse, oyun bitti. Görmek Güvenliği ihlal edilmiş bir sunucu ile nasıl baş edebilirim. - EEAA
RHEL7'nin farklı bir kayıt sistemi kullanacağı düşünülürse, kullandığınız belirli bir sürümle bir etiket ekleyebilir misiniz? - Cristian Ciupitu


Cevaplar:


Giriş kayıtları genellikle / var / log / güvenlidir. Diğer syslog mesajlarından koparmadığınız sürece SSH daemon sürecine özgü bir kayıt olduğunu düşünmüyorum.


42
2018-01-10 15:32



/ var / log / güvenli değil ... bu kötü bir işaret mi? - marcio
Red Hat Enterprise Linux, Fedora veya CentOS gibi bir RHEL türevi kullanıyorsanız, evet, bu kötü bir işarettir. Bir şey yanlış. - John
Fedora'nın yerine journalctl kullandığını okudum. /var/log/secure. İle journalctl _COMM=sshd Tüm ssh aktivitesini görebiliyordum ve her şey iyi görünüyor: D - marcio


@John cevabına ek olarak, bazı dağıtımlar artık varsayılan olarak journalctl kullanıyor. Durum buysa, muhtemelen görebiliyorsunuz sshd aracılığıyla aktivite:

_> journalctl _COMM=sshd

Çıkışı şu şekilde göreceksiniz:

Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.

6
2018-05-22 13:48



Ayrıca var journalctl _SYSTEMD_UNIT=sshd.service Aradaki fark, yalnızca başka herhangi bir hizmeti içermeyen hizmet için günlükleri alacaktır sshd örnekler (örneğin birisi paralel olarak başka bir SSH sunucusu çalıştırır). - Cristian Ciupitu


Günlük aslında RHEL sistemlerinde / var / log / secure konumunda bulunur. SSHD bağlantısı böyle bir şeye benzeyecek;

Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)

Hesabınızın ele geçirilip geçirilmediğini belirlemek için en önemli kısım IP adresidir.


3
2018-01-10 15:51





RHEL / CentOS 7 kullanıyorsanız, sisteminiz systemd ve dolayısıyla journalctl kullanıyor olacaktır. Yukarıda belirtildiği gibi, journalctl _COMM=sshd. Ancak, bunu aşağıdaki komutla da görüntüleyebilmeniz gerekir:

# journalctl -u sshd

Redhat sürümünüzü aşağıdaki komutla da doğrulayabilirsiniz:

# cat /etc/*release

Bu, linux sürümünüzle ilgili sürüm bilgilerini gösterir.


1
2017-08-18 22:36