Onde é armazenado o arquivo de log sshd no Red Hat Linux?

Os registros de login geralmente estão em / var / log / secure. Não acho que exista um log específico para o processo do daemon SSH, a menos que você o tenha separado de outras mensagens do syslog.

Além da resposta @john, algumas distribuições estão usando o journalctl por padrão. Se esse for o seu caso, provavelmente você verá a atividade sshd por meio de:

_> journalctl _COMM=sshd

Você verá a saída assim:

Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.

O log está, de fato, localizado em / var / log / secure nos sistemas RHEL. Uma conexão SSHD será algo como isto:

Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)

A parte mais importante para determinar se sua conta foi ou não comprometida é o endereço IP.

Se você estiver usando o RHEL / CentOS 7, seu sistema estará usando systemd e, portanto, journalctl. Como mencionado acima, você pode usar o journalctl _COMM=sshd . No entanto, você também deve poder visualizar isso com o seguinte comando:

# journalctl -u sshd

Você também pode verificar sua versão do redhat pelo seguinte comando:

# cat /etc/*release

Isto irá mostrar-lhe informações sobre a versão do seu Linux.