Подскажите, пожалуйста, где найти журнал SSHD в RedHat и SELinux .... Я хотел бы просмотреть журнал, чтобы узнать, кто входит в мою учетную запись ..
Записи входа обычно находятся в / var / log / secure. Я не думаю, что существует журнал, специфичный для процесса демона SSH, если вы не разбили его на другие сообщения системного журнала.
В дополнение к ответу @john в некоторых дистрибутивах теперь по умолчанию используется journalctl. Если это ваш случай, вы, вероятно, сможете увидеть sshd деятельность через:
_> journalctl _COMM=sshd
Вы увидите такой вывод:
Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.
Журнал фактически находится в / var / log / secure в системах RHEL. Соединение SSHD будет выглядеть примерно так;
Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)
Наиболее важной частью для определения того, была ли ваша учетная запись взломана, является IP-адрес.
Если вы используете RHEL / CentOS 7, ваша система будет использовать systemd и, следовательно, journalctl. Как упоминалось выше, вы можете использовать journalctl _COMM=sshd. Однако вы также можете просмотреть это с помощью следующей команды:
# journalctl -u sshd
Вы также можете проверить свою версию redhat с помощью следующей команды:
# cat /etc/*release
Это покажет вам информацию о версии вашей версии Linux.
Проверять, выписываться /var/log/secure Защищенные журналы меняются, поэтому вам может потребоваться поиск и в предыдущих файлах. НАПРИМЕР. /var/log/secure-20190903
Вы также можете быть заинтересованы в поиске в файле журнала определенных строк (я просто ударил по клавиатуре, чтобы сгенерировать эти образцы IP-адресов, поэтому, пожалуйста, не приписывайте им слишком много значения)
sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*