Red Hat Linux에서 sshd 로그 파일은 어디에 저장됩니까?


33

누군가 RedHat 및 SELinux에서 SSHD 로그를 찾을 수있는 위치를 알려주십시오 .... 누가 내 계정에 로그인하고 있는지 확인하려면 로그를보고 싶습니다 ..


4
Sheesh- "내 계정에 누가 로그인하고 있는지"를 물어야하는 경우 이미 게임이 끝난 것입니다. 손상된 서버를 처리하는 방법을 참조하십시오 .
EEAA

2
RHEL7이 다른 로깅 시스템을 사용한다는 사실을 고려할 때 사용중인 특정 버전의 태그를 추가 할 수 있습니까?
Cristian Ciupitu

답변:


46

로그인 레코드는 일반적으로 / var / log / secure에 있습니다. 다른 syslog 메시지에서 분리하지 않은 한 SSH 데몬 프로세스와 관련된 로그가 있다고 생각하지 않습니다.


2
/ var / log / secure가 없습니다 ... 나쁜 징조입니까?
marcio

Red Hat Enterprise Linux, Fedora 또는 CentOS와 같은 RHEL 파생 제품을 사용하는 경우 이는 잘못된 신호입니다. 뭔가 잘못되었다.
John

2
fedora는 대신 journalctl을 사용한다는 것을 읽었습니다 /var/log/secure. 와 journalctl _COMM=sshd나는 모든 SSH 활동을 볼 수있는 모든 것이 잘 보인다 : D
마르

6

@john 답변 외에도 일부 배포판에서는 기본적으로 journalctl을 사용하고 있습니다. 그것이 당신의 경우라면, 아마도 sshd다음을 통해 활동 을 볼 수있을 것입니다 .

_> journalctl _COMM=sshd

다음과 같은 출력이 표시됩니다.

Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.

1
journalctl _SYSTEMD_UNIT=sshd.service다른 가능한 sshd 인스턴스를 제외한 서비스의 로그 만 가져옵니다 (예 : 누군가 다른 SSH 서버를 병렬로 실행 하는 것)는 차이점 도 있습니다 .
Cristian Ciupitu

3

로그는 실제로 RHEL 시스템의 / var / log / secure에 있습니다. SSHD 연결은 다음과 같습니다.

Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)

계정 손상 여부를 결정하는 가장 중요한 부분은 IP 주소입니다.


1

RHEL / CentOS 7을 사용하는 경우 시스템은 systemd를 사용하므로 journalctl을 사용합니다. 위에서 언급했듯이을 사용할 수 있습니다 journalctl _COMM=sshd. 그러나 다음 명령을 사용하여이를 볼 수도 있습니다.

# journalctl -u sshd

다음 명령으로 Redhat 버전을 확인할 수 있습니다.

# cat /etc/*release

Linux 버전에 대한 버전 정보가 표시됩니다.


0

/var/log/secure 보안 로그가 순환되는지 확인하여 이전 파일도 검색해야합니다. EG/var/log/secure-20190903

특정 줄의 로그 파일을 검색하는 데 관심이있을 수 있습니다 (단지 샘플 IP 주소를 생성하기 위해 키보드를 쳤습니다. 그래서 너무 많은 의미를 부여하지 마십시오)

sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.