有人能告诉我在哪里可以找到 RedHat 和 SELinux 上的 SSHD 日志吗......我想查看日志以查看谁登录了我的帐户。
答案1
登录记录通常位于 /var/log/secure 中。我认为没有专门针对 SSH 守护进程的日志,除非您将其从其他系统日志消息中分离出来。
答案2
除了 @john 的回答之外,一些发行版现在默认使用 journalctl。如果是这种情况,您可能能够sshd通过以下方式查看活动:
_> journalctl _COMM=sshd
您将看到如下输出:
Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.
答案3
该日志实际上位于 RHEL 系统上的 /var/log/secure。SSHD 连接将如下所示;
Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)
确定您的帐户是否已被泄露的最重要的部分是 IP 地址。
答案4
检查/var/log/secure
安全日志是否已轮换,因此您可能还需要搜索以前的文件。例如/var/log/secure-20190903
您可能还想在日志文件中搜索特定的行(我只是敲击键盘来生成这些示例 IP 地址,所以请不要对它们赋予太多含义)
sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*