¿Dónde se almacena el archivo de registro sshd en Red Hat Linux?

33

¿Puede alguien decirme dónde encontrar el registro SSHD en RedHat y SELinux ... Me gustaría ver el registro para ver quién inicia sesión en mi cuenta ...

linux  ssh  redhat  selinux 
usuario150591
fuente
44
Sheesh: si tienes que preguntar "quién inicia sesión en mi cuenta", ya se acabó el juego. Vea Cómo trato con un servidor comprometido .
EEAA
2
Dado el hecho de que RHEL7 usará un sistema de registro diferente, ¿podría agregar una etiqueta con la versión específica que está usando?
Cristian Ciupitu

Respuestas:

46

Los registros de inicio de sesión suelen estar en / var / log / secure. No creo que haya un registro específico para el proceso del demonio SSH, a menos que lo haya separado de otros mensajes de syslog.

John
fuente
2
/ var / log / secure no está allí ... ¿es una mala señal?
marcio
Si está en Red Hat Enterprise Linux, Fedora o un derivado RHEL como CentOS, entonces sí, esta es una mala señal. Algo está mal.
John
2
He leído que fedora usa journalctl en lugar de /var/log/secure. Con journalctl _COMM=sshdpude ver toda la actividad de ssh y todo parece estar bien: D
marcio
6

Además de @john answer, algunas distribuciones ahora usan journalctl de forma predeterminada. Si ese es tu caso, probablemente puedas ver la sshdactividad a través de:

_> journalctl _COMM=sshd

Verá resultados como este:

Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.
marcio
fuente
1
También existe journalctl _SYSTEMD_UNIT=sshd.servicela diferencia de que solo obtendrá los registros del servicio, excluyendo cualquier otra instancia sshd posible (por ejemplo, alguien ejecuta otro servidor SSH en paralelo).
Cristian Ciupitu
3

De hecho, el registro se encuentra en / var / log / secure en los sistemas RHEL. Una conexión SSHD se verá más o menos así;

Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)

La parte más importante para determinar si su cuenta ha sido comprometida o no es la dirección IP.

Ethabelle
fuente
1

Si está utilizando RHEL / CentOS 7, su sistema utilizará systemd y, por lo tanto, journalctl. Como se mencionó anteriormente, puede usar el journalctl _COMM=sshd. Sin embargo, también debería poder ver esto con el siguiente comando:

# journalctl -u sshd

También puedes verificar tu versión de redhat con el siguiente comando:

# cat /etc/*release

Esto le mostrará información sobre la versión de su versión de Linux.

86bornprgmr
fuente
0

Echa un vistazo a /var/log/secure Los registros seguros se rotan, por lo que es posible que también necesites buscar archivos anteriores. P.EJ/var/log/secure-20190903

También puede estar interesado en buscar en el archivo de registro líneas específicas (acabo de golpear el teclado para generar esas direcciones IP de muestra, así que no les atribuya demasiado significado)

sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*
joar
fuente
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.