Auf CentOS werden Anmeldeinformationen in /var/log/secure protokolliert , nicht /var/logs/auth.log .
In Centos 7 befinden sich die SSH-Protokolle unter „/var/log/secure "
Wenn Sie in Echtzeit überwachen möchten, können Sie den tail-Befehl wie unten gezeigt verwenden:
tail -f -n 50 /var/log/secure | grep sshd
lastlog(8) wird die neuesten Informationen von /var/log/lastlog melden Einrichtung, wenn Sie pam_lastlog(8) haben konfiguriert.
aulastlog(8) erstellt einen ähnlichen Bericht, jedoch aus den Prüfprotokollen in /var/log/audit/audit.log . (Empfohlen, als auditd(8) Aufzeichnungen sind schwieriger zu manipulieren als syslog(3) Aufzeichnungen.)
ausearch -c sshd durchsucht Ihre Überwachungsprotokolle nach Berichten von sshd verarbeiten.
last(8) durchsucht /var/log/wtmp für die letzten Anmeldungen. lastb(8) zeigt bad login attempts .
/root/.bash_history könnte einige Details enthalten, vorausgesetzt, der Goober, der an Ihrem System herumgespielt hat, war inkompetent genug, es nicht zu entfernen, bevor er sich abgemeldet hat.
Stellen Sie sicher, dass Sie ~/.ssh/authorized_keys aktivieren Dateien für alle Benutzer Überprüfen Sie auf dem System crontab s um sicherzustellen, dass keine neuen Ports in der Zukunft geöffnet werden sollen usw.
Beachten Sie, dass alle auf dem lokalen Computer gespeicherten Protokolle verdächtig sind; die einzigen Protokolle, denen Sie wirklich vertrauen können werden an einen anderen Computer weitergeleitet, der nicht kompromittiert wurde. Vielleicht würde es sich lohnen, die zentralisierte Protokollverwaltung über rsyslog(8) zu untersuchen oder auditd(8) Fernbedienung der Maschine.
Sie können auch versuchen:
grep sshd /var/log/audit/audit.log
Und:
last | grep [username]
oder
last | head