Pada informasi login CentOS login /var/log/secure , bukan /var/logs/auth.log .
Di Centos 7 log SSH terletak di "/var/log/secure "
Jika Anda ingin memantau secara real time, Anda dapat menggunakan perintah ekor seperti yang ditunjukkan di bawah ini:
tail -f -n 50 /var/log/secure | grep sshd
lastlog(8) akan melaporkan informasi terbaru dari /var/log/lastlog fasilitas, jika Anda memiliki pam_lastlog(8) dikonfigurasi.
aulastlog(8) akan membuat laporan serupa, tetapi dari log audit di /var/log/audit/audit.log . (Disarankan, sebagai auditd(8) catatan lebih sulit untuk diubah daripada syslog(3) catatan.)
ausearch -c sshd akan mencari log audit Anda untuk laporan dari sshd proses.
last(8) akan mencari melalui /var/log/wtmp untuk login terbaru. lastb(8) akan menampilkan bad login attempts .
/root/.bash_history mungkin berisi beberapa detail, dengan asumsi goober yang mengutak-atik sistem Anda tidak cukup kompeten untuk tidak menghapusnya sebelum logout.
Pastikan Anda mencentang ~/.ssh/authorized_keys file untuk semua pengguna pada sistem, centang crontab s untuk memastikan tidak ada port baru yang dijadwalkan untuk dibuka di masa mendatang, dll.
Perhatikan bahwa semua log yang disimpan di mesin lokal dicurigai; satu-satunya log yang secara realistis dapat Anda percayai diteruskan ke komputer lain yang tidak disusupi. Mungkin ada baiknya menyelidiki penanganan log terpusat melalui rsyslog(8) atau auditd(8) penanganan mesin jarak jauh.
Anda juga dapat mencoba:
grep sshd /var/log/audit/audit.log
Dan:
last | grep [username]
atau
last | head