Où trouver les fichiers journaux de connexion SSH sur centos

Sur CentOS, les informations de connexion sont enregistrées /var/log/secure et non pas /var/logs/auth.log.

lastlog(8) rapportera les informations les plus récentes de la fonction /var/log/lastlog, si vous avez configuré pam_lastlog(8).

aulastlog(8) créera un rapport similaire, mais à partir des journaux d'audit, /var/log/audit/audit.log. (Recommandé, car les enregistrements auditd(8) sont plus difficiles à manipuler que les enregistrements syslog(3).)

ausearch -c sshd va rechercher dans vos journaux d'audit les rapports du processus sshd.

last(8) cherchera dans /var/log/wtmp les connexions les plus récentes. lastb(8) affichera bad login attempts.

/root/.bash_history peut contenir certains détails, en supposant que le joueur qui manipule votre système est suffisamment incompétent pour ne pas le supprimer avant de se déconnecter.

Assurez-vous de vérifier les fichiers ~/.ssh/authorized_keys pour tous les utilisateurs du système, cochez crontabs pour vous assurer qu'aucun nouveau port ne sera ouvert à l'avenir. , etc.

Notez que tous les journaux stockés sur la machine locale sont suspects. les seuls journaux que vous pouvez de manière réaliste faire confiance sont transférés vers un autre ordinateur qui n'a pas été compromis. Il serait peut-être intéressant d’examiner la gestion centralisée des journaux via rsyslog(8) ou auditd(8), le traitement à distance par la machine.

Vous pouvez aussi essayer:

grep sshd /var/log/audit/audit.log

Et:

last | grep [username]

ou

last | head