我正在 CrunchBang Linux 上运行 OpenSSH 守护进程 (sshd),我想查看谁(即 IP 地址)使用 SSH 登录的历史记录。
答案1
由于 CrunchBang 是 debian 变体,openssh 服务器日志将位于:
/var/log/auth.log
答案2
在看/var/log/auth.log
对于以下形式的行:
Jul 6 06:25:57 hostname sshd[10135]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=x.y.z user=root
Jul 6 06:25:59 hotname sshd[10135]: Failed password for root from 50.30.34.7 port 5673 ssh2
(失败的尝试)和:
Jul 12 12:12:43 hostname sshd[29412]: Accepted publickey for username from 1.2.3.4 9 port 32986 ssh2
Jul 12 12:12:43 hostname sshd[29412]: pam_unix(sshd:session): session opened for user username by (uid=0)
(登录成功)。
答案3
sshd
日志通常存储在/var/log/auth.log
sshd
默认情况下记录到 AUTHPRIV 系统日志工具。只要rsyslog
配置为向/var/log/auth.log
您发送这些消息即可开展业务。
取消注释以下内容/etc/rsyslog.d/50-default.conf
auth,authpriv.* /var/log/auth.log
重新启动rsyslog
以使更改生效
sudo service rsyslog restart
通过SSH登录机器并检查日志是否正在写入