Existe um log para o sshd onde eu posso ver quem usou o ssh para acessar meu PC? [duplicado]

0

Estou executando o daemon OpenSSH (sshd) no CrunchBang Linux, e quero ver um histórico de quem (ou seja, endereço IP) fez o login usando SSH.

    
por paperduck 12.07.2014 / 02:03

3 respostas

2

Como o CrunchBang é uma variante do Debian, os logs do servidor openssh estariam em:

/var/log/auth.log
    
por 12.07.2014 / 02:15
2

Veja em /var/log/auth.log as linhas do formulário:

Jul  6 06:25:57 hostname sshd[10135]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=x.y.z  user=root
Jul  6 06:25:59 hotname sshd[10135]: Failed password for root from 50.30.34.7 port 5673 ssh2

(tentativas malsucedidas) e:

Jul 12 12:12:43 hostname sshd[29412]: Accepted publickey for username from 1.2.3.4 9 port 32986 ssh2
Jul 12 12:12:43 hostname sshd[29412]: pam_unix(sshd:session): session opened for user username by (uid=0)

(logins bem-sucedidos).

    
por 12.07.2014 / 02:16
1

sshd logs normalmente são armazenados em /var/log/auth.log

sshd logs para o recurso syslog AUTHPRIV por padrão. Contanto que rsyslog esteja configurado para enviar essas mensagens para /var/log/auth.log , você estará no negócio.

Descomente o seguinte em /etc/rsyslog.d/50-default.conf

auth,authpriv.*                  /var/log/auth.log

Reinicie o rsyslog para que as alterações entrem em vigor

sudo service rsyslog restart

Faça o login na máquina via SSH e verifique se os registros estão sendo gravados

    
por 12.07.2014 / 02:18

Tags