Sur CentOS, les informations de connexion sont enregistrées dans /var/log/secure , pas /var/logs/auth.log .
Dans Centos 7, les journaux SSH se trouvent dans "/var/log/secure "
Si vous souhaitez surveiller en temps réel, vous pouvez utiliser la commande tail comme indiqué ci-dessous :
tail -f -n 50 /var/log/secure | grep sshd
lastlog(8) rapportera les informations les plus récentes du /var/log/lastlog installation, si vous avez pam_lastlog(8) configuré.
aulastlog(8) fera un rapport similaire, mais à partir des journaux d'audit dans /var/log/audit/audit.log . (Recommandé, car auditd(8) les enregistrements sont plus difficiles à falsifier que syslog(3) enregistrements.)
ausearch -c sshd recherchera dans vos journaux d'audit les rapports du sshd processus.
last(8) recherchera à travers /var/log/wtmp pour les connexions les plus récentes. lastb(8) affichera bad login attempts .
/root/.bash_history peut contenir certains détails, en supposant que le goober qui a manipulé votre système était suffisamment incompétent pour ne pas le supprimer avant de se déconnecter.
Assurez-vous de cocher ~/.ssh/authorized_keys fichiers pour tous les utilisateurs sur le système, cochez crontab s pour s'assurer qu'aucun nouveau port ne doit être ouvert à un moment donné dans le futur, etc.
Notez que tous les journaux stockés sur la machine locale sont suspects ; les seuls journaux auxquels vous pouvez raisonnablement faire confiance sont transmis à une autre machine qui n'a pas été compromise. Il serait peut-être utile d'étudier la gestion centralisée des journaux via rsyslog(8) ou auditd(8) manipulation de la machine à distance.
Vous pouvez également essayer :
grep sshd /var/log/audit/audit.log
Et :
last | grep [username]
ou
last | head