webdevqa.jp.net

CentOSのSSHログインログファイルの場所

一部の開発者と.pemファイルを共有しましたが、サーバーで問題が発生しました。ログでログインを追跡して、誰(IP)が変更を行い、いつ(可能な場合でも)すべての変更がそのセッションで発生したかを確認できるようにしたいと思います。

/var/logs/auth.logを調べてみましたが、自分のマシンでそのようなファイルが見つかりません。

詳細はほとんどありません:

AWSでホスト作成および共有された.pemファイルCentOS-centos-release-7-2.1511.el7.centos.2.10.x86_64 EC2インスタンスフローログを設定していません誰かがSSHログインの詳細の追跡を手伝ってくれますか?

13
ULLAS K

CentOSでは、ログイン情報は/var/log/secureではなく/var/logs/auth.logに記録されます。

17
blah

Centos 7では、SSHログは "/ var/log/secure"にあります

リアルタイムで監視したい場合は、次に示すようにtailコマンドを使用できます。

tail -f -n 50 /var/log/secure | grep sshd

lastlog(8)が構成されている場合、pam_lastlog(8)は_/var/log/lastlog_機能からの最新情報を報告します。

aulastlog(8)は同様のレポートを作成しますが、_/var/log/audit/audit.log_の監査ログからのものです。 (auditd(8)レコードはsyslog(3)レコードよりも改ざんが難しいため、推奨されます。)

_ausearch -c sshd_は、監査ログでsshdプロセスからのレポートを検索します。

last(8)は、_/var/log/wtmp_で最新のログインを検索します。 lastb(8)は_bad login attempts_を表示します。

_/root/.bash_history_にはいくつかの詳細が含まれている可能性があります。ただし、システムをいじったグーバーが、ログアウトする前にそれを削除しないほど能力がないと仮定します。

システムで_~/.ssh/authorized_keys_ファイルのall usersを確認し、crontabsを確認して、将来のある時点で新しいポートが開かれる予定がないことを確認します。 。

ローカルマシンに保存されているすべてのログが疑わしいことに注意してください。現実的にできる唯一のログtrustは、侵害されていない別のマシンに転送されます。おそらく、rsyslog(8)またはauditd(8)リモートマシンの処理を介した集中ログ処理を調査する価値があります。

あなたも試すことができます:

_grep sshd /var/log/audit/audit.log
_

そして:

_last | grep [username]_

または

_last | head 
_
2
Nikita 웃