누군가 RedHat 및 SELinux에서 SSHD 로그를 찾을 수있는 위치를 알려주십시오 .... 누가 내 계정에 로그인하고 있는지 확인하려면 로그를보고 싶습니다 ..
누군가 RedHat 및 SELinux에서 SSHD 로그를 찾을 수있는 위치를 알려주십시오 .... 누가 내 계정에 로그인하고 있는지 확인하려면 로그를보고 싶습니다 ..
답변:
로그인 레코드는 일반적으로 / var / log / secure에 있습니다. 다른 syslog 메시지에서 분리하지 않은 한 SSH 데몬 프로세스와 관련된 로그가 있다고 생각하지 않습니다.
/var/log/secure
. 와 journalctl _COMM=sshd
나는 모든 SSH 활동을 볼 수있는 모든 것이 잘 보인다 : D
@john 답변 외에도 일부 배포판에서는 기본적으로 journalctl을 사용하고 있습니다. 그것이 당신의 경우라면, 아마도 sshd
다음을 통해 활동 을 볼 수있을 것입니다 .
_> journalctl _COMM=sshd
다음과 같은 출력이 표시됩니다.
Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.
journalctl _SYSTEMD_UNIT=sshd.service
다른 가능한 sshd 인스턴스를 제외한 서비스의 로그 만 가져옵니다 (예 : 누군가 다른 SSH 서버를 병렬로 실행 하는 것)는 차이점 도 있습니다 .
로그는 실제로 RHEL 시스템의 / var / log / secure에 있습니다. SSHD 연결은 다음과 같습니다.
Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)
계정 손상 여부를 결정하는 가장 중요한 부분은 IP 주소입니다.
RHEL / CentOS 7을 사용하는 경우 시스템은 systemd를 사용하므로 journalctl을 사용합니다. 위에서 언급했듯이을 사용할 수 있습니다 journalctl _COMM=sshd
. 그러나 다음 명령을 사용하여이를 볼 수도 있습니다.
# journalctl -u sshd
다음 명령으로 Redhat 버전을 확인할 수 있습니다.
# cat /etc/*release
Linux 버전에 대한 버전 정보가 표시됩니다.