রেড হ্যাট লিনাক্সের sshd লগ ফাইলটি কোথায় সংরক্ষিত আছে?

33

কেউ দয়া করে আমাকে বলতে পারবেন যে রেডহ্যাট এবং সেলইনাক্সে এসএসএইচডি লগটি কোথায় পাওয়া যাবে .... কে আমার অ্যাকাউন্টে লগ ইন করছে তা দেখতে আমি লগটি দেখতে চাই would

— user150591
সূত্র

4

শীশ - যদি আপনাকে "আমার অ্যাকাউন্টে লগ ইন করছে" কে যদি জিজ্ঞাসা করতে হয় তবে এটি ইতিমধ্যে শেষ হয়ে গেছে। দেখুন আমি কোনো আপোস করা সার্ভারের সাথে কিভাবে মোকাবেলা করবেন ।

— EEAA

2

RHEL7 একটি ভিন্ন লগিং সিস্টেম ব্যবহার করবে এই বিষয়টি বিবেচনা করে, আপনি যে নির্দিষ্ট সংস্করণটি ব্যবহার করছেন তা দিয়ে আপনি কি কোনও ট্যাগ যুক্ত করতে পারেন?

— ক্রিশ্চিয়ান সিউপিতু

46

লগইন রেকর্ডগুলি সাধারণত / var / লগ / সুরক্ষিত থাকে। আমি মনে করি না যে এসএসএইচ ডেমন প্রক্রিয়াটিতে নির্দিষ্ট কোনও লগ রয়েছে, যদি না আপনি এটি অন্য সিসলোগ বার্তাগুলি থেকে ভাঙেন।

— জন
সূত্র

2

/ var / লগ / সুরক্ষিত নেই ... এটি একটি খারাপ চিহ্ন?

— মার্সিও

আপনি যদি রেড হ্যাট এন্টারপ্রাইজ লিনাক্স, ফেডোরা, বা সেন্টোসের মতো কোনও আরএইচইএল ডেরিভেটিভ হন তবে হ্যাঁ, এটি একটি খারাপ চিহ্ন। কিছু একটা সমস্যা.

— জন

2

আমি পড়েছি যে ফেডোরা পরিবর্তে জার্নালেক্ট ব্যবহার করে /var/log/secure। সঙ্গে journalctl _COMM=sshdআমি সব SSH কার্যকলাপ দেখতে পারে এবং সবকিছু ঠিক বলে মনে হয়: ডি

— marcio

6

@ জোহান উত্তর ছাড়াও, কিছু বিতরণ এখন ডিফল্টরূপে জার্নাল্টেল ব্যবহার করছে। যদি এটি আপনার ক্ষেত্রে হয় তবে আপনি সম্ভবত এর sshdমাধ্যমে ক্রিয়াকলাপটি দেখতে সক্ষম হবেন :

_> journalctl _COMM=sshd

আপনি এর মতো আউটপুট দেখতে পাবেন:

Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.

— marcio
সূত্র

1

এর রয়েছে journalctl _SYSTEMD_UNIT=sshd.serviceপার্থক্য হচ্ছে এটি সেবা কোন অন্যান্য সম্ভাব্য ব্যতীত শুধুমাত্র লগ পাবেন sshd কমান্ড দৃষ্টান্ত (উদাহরণস্বরূপ কেউ সমান্তরাল আরেকটি SSH সার্ভারের রান)।

— ক্রিশ্চিয়ান সিউপিতু

3

লগটি বাস্তবে আরএইচইএল সিস্টেমগুলিতে / var / লগ / সুরক্ষিত অবস্থিত। একটি এসএসএইচডি সংযোগটি এরকম কিছু দেখবে;

Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)

আপনার অ্যাকাউন্টে আপোস হয়েছে কিনা তা নির্ধারণের জন্য সবচেয়ে গুরুত্বপূর্ণ অংশটি হ'ল আইপি ঠিকানা।

— Ethabelle
সূত্র

1

আপনি যদি RHEL / CentOS 7 ব্যবহার করে থাকেন তবে আপনার সিস্টেমটি systemd ব্যবহার করবে এবং সেইজন্য জার্কিটল ব্যবহার করবে। উপরে উল্লিখিত হিসাবে, আপনি এটি ব্যবহার করতে পারেন journalctl _COMM=sshd। তবে, আপনি নিম্নলিখিত কমান্ডের সাহায্যে এটি দেখতে সক্ষম হবেন:

# journalctl -u sshd

আপনি নীচের কমান্ড দ্বারা আপনার redhat সংস্করণটি যাচাই করতে পারেন:

# cat /etc/*release

এটি আপনাকে আপনার লিনাক্সের সংস্করণ সম্পর্কে সংস্করণ তথ্য প্রদর্শন করবে।

— 86bornprgmr
সূত্র

0

/var/log/secure সুরক্ষিত লগগুলি ঘোরানো হয়েছে তা পরীক্ষা করে দেখুন যাতে আপনার আগের ফাইলগুলিও অনুসন্ধান করতে পারে। ই জি/var/log/secure-20190903

আপনি নির্দিষ্ট লাইনগুলির জন্য লগফাইলে অনুসন্ধানে আগ্রহীও হতে পারেন (আমি কেবলমাত্র সেই নমুনা আইপি ঠিকানাগুলি তৈরি করতে কীবোর্ডে ঝাঁকিয়েছি তাই দয়া করে এগুলিকে খুব বেশি অর্থ দিন না)

sudo grep -e 52.32.98.225 -e 56.33.22.215 /var/log/secure*

— জোয়ার
সূত্র