Pada informasi login CentOS login /var/log/secure
, bukan /var/logs/auth.log
.
Di Centos 7 log SSH terletak di "/var/log/secure "
Jika Anda ingin memantau secara real time, Anda dapat menggunakan perintah ekor seperti yang ditunjukkan di bawah ini:
tail -f -n 50 /var/log/secure | grep sshd
lastlog(8)
akan melaporkan informasi terbaru dari /var/log/lastlog
fasilitas, jika Anda memiliki pam_lastlog(8)
dikonfigurasi.
aulastlog(8)
akan membuat laporan serupa, tetapi dari log audit di /var/log/audit/audit.log
. (Disarankan, sebagai auditd(8)
catatan lebih sulit untuk diubah daripada syslog(3)
catatan.)
ausearch -c sshd
akan mencari log audit Anda untuk laporan dari sshd
proses.
last(8)
akan mencari melalui /var/log/wtmp
untuk login terbaru. lastb(8)
akan menampilkan bad login attempts
.
/root/.bash_history
mungkin berisi beberapa detail, dengan asumsi goober yang mengutak-atik sistem Anda tidak cukup kompeten untuk tidak menghapusnya sebelum logout.
Pastikan Anda mencentang ~/.ssh/authorized_keys
file untuk semua pengguna pada sistem, centang crontab
s untuk memastikan tidak ada port baru yang dijadwalkan untuk dibuka di masa mendatang, dll.
Perhatikan bahwa semua log yang disimpan di mesin lokal dicurigai; satu-satunya log yang secara realistis dapat Anda percayai diteruskan ke komputer lain yang tidak disusupi. Mungkin ada baiknya menyelidiki penanganan log terpusat melalui rsyslog(8)
atau auditd(8)
penanganan mesin jarak jauh.
Anda juga dapat mencoba:
grep sshd /var/log/audit/audit.log
Dan:
last | grep [username]
atau
last | head