Red Hat Linux에서 sshd 로그 파일은 어디에 저장됩니까?

누군가 RedHat 및 SELinux에서 SSHD 로그를 찾을 수있는 위치를 알려주십시오 .... 누가 내 계정에 로그인하고 있는지 확인하려면 로그를보고 싶습니다 ..

로그인 레코드는 일반적으로 / var / log / secure에 있습니다. 다른 syslog 메시지에서 분리하지 않은 한 SSH 데몬 프로세스와 관련된 로그가 있다고 생각하지 않습니다.

@john 답변 외에도 일부 배포판에서는 기본적으로 journalctl을 사용하고 있습니다. 그것이 당신의 경우라면, 아마도 sshd다음을 통해 활동 을 볼 수있을 것입니다 .

_> journalctl _COMM=sshd

다음과 같은 출력이 표시됩니다.

Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.

로그는 실제로 RHEL 시스템의 / var / log / secure에 있습니다. SSHD 연결은 다음과 같습니다.

Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)

계정 손상 여부를 결정하는 가장 중요한 부분은 IP 주소입니다.

RHEL / CentOS 7을 사용하는 경우 시스템은 systemd를 사용하므로 journalctl을 사용합니다. 위에서 언급했듯이을 사용할 수 있습니다 journalctl _COMM=sshd. 그러나 다음 명령을 사용하여이를 볼 수도 있습니다.

# journalctl -u sshd

다음 명령으로 Redhat 버전을 확인할 수 있습니다.

# cat /etc/*release

Linux 버전에 대한 버전 정보가 표시됩니다.

/var/log/secure 보안 로그가 순환되는지 확인하여 이전 파일도 검색해야합니다. EG/var/log/secure-20190903

특정 줄의 로그 파일을 검색하는 데 관심이있을 수 있습니다 (단지 샘플 IP 주소를 생성하기 위해 키보드를 쳤습니다. 그래서 너무 많은 의미를 부여하지 마십시오)

sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*