V systému CentOS jsou přihlašovací údaje přihlášeny /var/log/secure , nikoli /var/logs/auth.log .
V Centos 7 jsou protokoly SSH umístěny na "/var/log/secure "
."Pokud chcete monitorovat v reálném čase, můžete použít příkaz tail, jak je ukázáno níže:
tail -f -n 50 /var/log/secure | grep sshd
lastlog(8) bude hlásit nejnovější informace z /var/log/lastlog zařízení, pokud máte pam_lastlog(8) nakonfigurováno.
aulastlog(8) vytvoří podobnou zprávu, ale z protokolů auditu v /var/log/audit/audit.log . (Doporučeno jako auditd(8) se záznamy je těžší manipulovat než s syslog(3) záznamy.)
ausearch -c sshd vyhledá ve vašich protokolech auditu zprávy z sshd proces.
last(8) prohledá /var/log/wtmp pro nejnovější přihlášení. lastb(8) zobrazí bad login attempts .
/root/.bash_history může obsahovat nějaké podrobnosti, za předpokladu, že goober, který si pohrával s vaším systémem, byl natolik nekompetentní, že jej neodstranil před odhlášením.
Ujistěte se, že jste zaškrtli ~/.ssh/authorized_keys soubory pro všechny uživatele v systému zaškrtněte crontab s, abyste se ujistili, že v určitém okamžiku v budoucnu nebudou naplánovány žádné nové porty, atd.
Všimněte si, že všechny protokoly uložené na místním počítači jsou podezřelé; jediné protokoly, kterým můžete reálně důvěřovat jsou předány jinému počítači, který nebyl kompromitován. Možná by stálo za to prozkoumat centralizované zpracování protokolů přes rsyslog(8) nebo auditd(8) vzdálené ovládání stroje.
Můžete také zkusit:
grep sshd /var/log/audit/audit.log
A:
last | grep [username]
nebo
last | head