Intereting Posts
Профиль LXC apparmor ограничивает выполнение сценариев в / run / * Разница между 'ld' и 'ld.so'? Как получить относительные пути с помощью ls? Как сделать работу беспроводной карты TP-LINK TL-WN321G? (Сахар на палочке, Fedora 23) Устранение ошибки доступа к шине dbus Источник аудиосигнала Bluetooth A2DP для воспроизведения звука с телефона на linux с помощью bluez 5.45 Как добавить графический интерфейс к минимальной установке CentOS? Эмуляция Numpad Как эффективно искать журналы электронной почты с помощью `RegEx` Установите заголовки linux 4.12 на Kali 2017.2 Каков правильный способ резервного копирования древовидной структуры и метаданных файлов раздела? Macbook Pro Retina 2015 Проблемы с Wi-Fi на Кали Почему UIDs в Solaris настолько высоки? Можно ли использовать более низкие цифры? Как создать устанавливаемую резервную копию liveCD моей системы (сохранить все установленные пакеты, но не домашние каталоги) Как определить причину использования большой буферной памяти?

Есть ли журнал для sshd, где я могу видеть, кто использовал ssh для доступа к моему компьютеру?

Я запускаю демон OpenSSH (sshd) на CrunchBang Linux, и я хочу увидеть историю того, кто (т. Е. IP-адрес) вошел в систему, используя SSH.

Поскольку CrunchBang является вариантом debian, журналы сервера openssh будут находиться в:

/var/log/auth.log 

Посмотрите в /var/log/auth.log для строк в форме:

 Jul 6 06:25:57 hostname sshd[10135]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xyz user=root Jul 6 06:25:59 hotname sshd[10135]: Failed password for root from 50.30.34.7 port 5673 ssh2 

(неудачные попытки) и:

 Jul 12 12:12:43 hostname sshd[29412]: Accepted publickey for username from 1.2.3.4 9 port 32986 ssh2 Jul 12 12:12:43 hostname sshd[29412]: pam_unix(sshd:session): session opened for user username by (uid=0) 

(успешные логины).

Журналы sshd обычно хранятся в /var/log/auth.log

sshd logs к объекту syslog AUTHPRIV по умолчанию. Пока rsyslog настроен на отправку этих сообщений в /var/log/auth.log вы будете в бизнесе.

Раскомментируйте следующее в /etc/rsyslog.d/50-default.conf

 auth,authpriv.* /var/log/auth.log 

Перезапустите rsyslog чтобы изменения вступили в силу.

 sudo service rsyslog restart 

Войдите в систему через SSH и убедитесь, что записываются журналы