我与少数开发人员共享了一个 .pem 文件,现在服务器出现问题。我想在日志中跟踪登录,以便我可以看到谁 (IP) 进行了更改,以及何时(如果可能)在该会话中发生了所有更改。
我尝试查看 /var/logs/auth.log,但在我的机器中找不到这样的文件。
更多细节:
托管在 AWS 创建并共享 .pem 文件 CentOS - centos-release-7-2.1511.el7.centos.2.10.x86_64 EC2 实例 我还没有设置流日志 有人可以帮助跟踪 SSH 登录详细信息吗?
lastlog(8)/var/log/lastlog如果您已配置,将报告该设施的最新信息pam_lastlog(8)。
aulastlog(8)将做出类似的报告,但来自审核日志/var/log/audit/audit.log。(推荐,因为auditd(8)记录比记录更难篡改syslog(3)。)
ausearch -c sshd将在您的审核日志中搜索该sshd流程的报告。
last(8)将搜索/var/log/wtmp最近的登录。lastb(8)将会呈现bad login attempts。
/root/.bash_history可能包含一些详细信息,假设摆弄您系统的傻瓜没有能力在注销之前不将其删除。
确保检查系统上所有用户~/.ssh/authorized_keys的文件,检查以确保未来某个时刻没有计划打开新端口等。crontab
请注意,存储在本地计算机上的所有日志都是可疑的;您真正可以信任的唯一日志会转发到另一台未受到损害的计算机。也许值得研究通过rsyslog(8)或auditd(8)远程机器处理进行集中日志处理。
您还可以尝试:
grep sshd /var/log/audit/audit.log
和:
last | grep [username]
或者
last | head
小智 6
在 Centos 7 中,SSH 日志位于“ /var/log/secure ”
如果要实时监控,可以使用tail命令,如下图:
tail -f -n 50 /var/log/secure | grep sshd