Řešení 1:
Přihlašovací záznamy jsou obvykle v /var/log/secure. Nemyslím si, že existuje protokol specifický pro proces démona SSH, pokud jste jej neoddělili od jiných zpráv syslog.
Řešení 2:
Kromě odpovědi @john nyní některé distribuce standardně používají journalctl. Pokud je to váš případ, pravděpodobně uvidíte sshd aktivita prostřednictvím:
_> journalctl _COMM=sshd
Uvidíte výstup takto:
Abr 15 02:28:17 m sshd[26284]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Abr 15 02:28:18 m sshd[26284]: Failed password for root from 127.0.0.1 port **** ssh2
Abr 15 02:28:19 m sshd[26284]: Connection closed by 127.0.0.1 [preauth]
Abr 15 02:28:25 m sshd[26296]: Accepted password for **** from 127.0.0.1 port **** ssh2
Abr 15 02:28:25 m sshd[26296]: pam_unix(sshd:session): session opened for user **** by (uid=0)
Abr 15 02:28:28 m sshd[26301]: Received disconnect from 127.0.0.1: 11: disconnected by user
Abr 15 02:28:58 m sshd[26231]: Received signal 15; terminating.
Abr 15 02:28:58 m sshd[26828]: Server listening on 0.0.0.0 port 22.
Řešení 3:
Protokol je ve skutečnosti umístěn na /var/log/secure na systémech RHEL. Připojení SSHD bude vypadat nějak takto;
Jan 10 09:49:04 server sshd[28651]: Accepted publickey for [username] from x.x.x.x port 61000 ssh2
Jan 10 09:49:04 server sshd[28651]: pam_unix(sshd:session): session opened for user [username] by (uid=0)
Nejdůležitější částí pro určení, zda byl váš účet kompromitován, je IP adresa.
Dopad na výkon provozu různých souborových systémů na jediném linuxovém serveru
Symbolické propojení Linuxu nefunguje podle očekávání