it-swarm.com.de

Wo finden Sie SSH-Login-Protokolldateien auf Centos

Ich habe eine .pem-Datei mit wenigen Entwicklern geteilt, und jetzt ist auf dem Server ein Fehler aufgetreten. Ich möchte Anmeldungen in einem Protokoll nachverfolgen, damit ich sehen kann, wer (IP) Änderungen vorgenommen hat und wann (wenn möglich), welche Änderungen in dieser Sitzung vorgenommen wurden.

Ich habe versucht, in /var/logs/auth.log nachzuschauen. Ich kann eine solche Datei auf meinem Computer nicht finden.

Einige weitere Details:

Hosted on AWS Erstellt und freigegeben .pem-Datei CentOS - centos-release-7-2.1511.el7.centos.2.10.x86_64 EC2-Instanz Ich habe kein Ablaufprotokoll festgelegt. Kann jemand helfen, SSH-Anmeldedaten zu verfolgen?

7
ULLAS K

Bei CentOS werden Anmeldeinformationen in /var/log/secure und nicht in /var/logs/auth.log protokolliert.

6
blah

lastlog(8) meldet die neuesten Informationen aus der /var/log/lastlog-Funktion, wenn Sie pam_lastlog(8) konfiguriert haben.

aulastlog(8) erstellt einen ähnlichen Bericht, jedoch aus den Überwachungsprotokollen in /var/log/audit/audit.log. (Empfohlen, da auditd(8)-Datensätze schwerer zu manipulieren sind als syslog(3)-Datensätze.)

ausearch -c sshd durchsucht Ihre Überwachungsprotokolle nach Berichten aus dem sshd-Prozess.

last(8) durchsucht /var/log/wtmp nach den neuesten Anmeldungen. lastb(8) zeigt bad login attempts an.

/root/.bash_history könnte einige Details enthalten, vorausgesetzt, der Benutzer, der an Ihrem System herumgespielt hat, war inkompetent genug, um es vor dem Abmelden nicht zu entfernen.

Stellen Sie sicher, dass Sie ~/.ssh/authorized_keys-Dateien auf alle Benutzer im System überprüfen. Überprüfen Sie crontabs, um sicherzustellen, dass zu einem späteren Zeitpunkt keine neuen Ports geöffnet werden sollen , usw.

Beachten Sie, dass alle auf dem lokalen Computer gespeicherten Protokolle verdächtig sind. Die einzigen Protokolle, denen Sie realistisch vertrauen können , werden an einen anderen Computer weitergeleitet, der nicht kompromittiert wurde. Vielleicht lohnt es sich, die zentralisierte Protokollverarbeitung über rsyslog(8) oder auditd(8) Remote-Maschinenverarbeitung zu untersuchen.

Sie können auch versuchen:

grep sshd /var/log/audit/audit.log

Und:

last | grep [username]

oder

last | head 
2
Nikita 웃