是否有 sshd 日志,我可以在其中查看谁使用 ssh 访问我的电脑?

是否有 sshd 日志,我可以在其中查看谁使用 ssh 访问我的电脑?

我正在 CrunchBang Linux 上运行 OpenSSH 守护进程 (sshd),我想查看谁(即 IP 地址)使用 SSH 登录的历史记录。

答案1

由于 CrunchBang 是 debian 变体,openssh 服务器日志将位于:

/var/log/auth.log

答案2

在看/var/log/auth.log对于以下形式的行:

Jul  6 06:25:57 hostname sshd[10135]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=x.y.z  user=root
Jul  6 06:25:59 hotname sshd[10135]: Failed password for root from 50.30.34.7 port 5673 ssh2

(失败的尝试)和:

Jul 12 12:12:43 hostname sshd[29412]: Accepted publickey for username from 1.2.3.4 9 port 32986 ssh2
Jul 12 12:12:43 hostname sshd[29412]: pam_unix(sshd:session): session opened for user username by (uid=0)

(登录成功)。

答案3

sshd日志通常存储在/var/log/auth.log

sshd默认情况下记录到 AUTHPRIV 系统日志工具。只要rsyslog配置为向/var/log/auth.log您发送这些消息即可开展业务。

取消注释以下内容/etc/rsyslog.d/50-default.conf

auth,authpriv.*                  /var/log/auth.log

重新启动rsyslog以使更改生效

sudo service rsyslog restart

通过SSH登录机器并检查日志是否正在写入

相关内容