Onde encontrar os arquivos de log de logon do SSH no centos

Question

Onde encontrar os arquivos de log de logon do SSH no centos

#1 resposta do (2 votos)
#2 resposta do (1 votos)
#3 resposta do (-2 votos)

3

Eu compartilhei um arquivo .pem com poucos desenvolvedores e agora algo deu errado no servidor. Eu gostaria de rastrear logins em um log para que eu possa ver quem (IP) fez alterações e quando (se possível) que todas as mudanças ocorreram naquela sessão.

Eu tentei procurar /var/logs/auth.log, não consigo encontrar esse arquivo na minha máquina.

Mais alguns detalhes:

Hospedado na AWS Criado e compartilhado arquivo .pem CentOS - centos-release-7-2.1511.el7.centos.2.10.x86_64 Instância do EC2 Eu não defini o log de fluxo Alguém pode ajudar a rastrear detalhes de login do SSH?

ssh linux centos

por ULLAS K 01.07.2017 / 11:27

3 respostas

Tags ssh linux centos

O computador não reproduz nenhum vídeo on-line até que eu reinicie Killing escutando porta de processo X sem conhecimento sobre nome

score 2 · Answer 1

As informações de login do CentOS são registradas em /var/log/secure , não /var/logs/auth.log .

score 1 · Answer 2

lastlog(8) relatará as informações mais recentes do recurso /var/log/lastlog , se você tiver pam_lastlog(8) configurado.

aulastlog(8) fará um relatório semelhante, mas a partir dos registros de auditoria em /var/log/audit/audit.log . (Recomendado, pois auditd(8) registros são mais difíceis de adulterar do que syslog(3) registros.)

ausearch -c sshd pesquisará em seus registros de auditoria os relatórios do processo sshd .

last(8) pesquisará /var/log/wtmp para os logins mais recentes. lastb(8) mostrará bad login attempts .

/root/.bash_history pode conter alguns detalhes, presumindo que o goober que mexeu em seu sistema era incompetente o suficiente para não removê-lo antes de sair.

Certifique-se de verificar ~/.ssh/authorized_keys arquivos para todos os usuários no sistema, verifique crontab s para garantir que nenhuma nova porta esteja programada para ser aberta em algum momento no futuro, etc.

Observe que todos os logs armazenados na máquina local são suspeitos; os únicos logs que você pode realisticamente confiar são encaminhados para outra máquina que não foi comprometida. Talvez valesse a pena investigar o manuseio centralizado de logs via rsyslog(8) ou auditd(8) manuseio remoto da máquina.

Você também pode tentar:

grep sshd /var/log/audit/audit.log

E:

last | grep [username]

ou

last | head

score -2 · Answer 3

-2

tente este aqui

tail -500 /var/log/auth.log | grep 'sshd'

por 01.07.2017 / 12:31