Linux 시스템에서 누가 로그인했는지, 어디서(IP 주소), 언제 로그인했는지 모니터링하고 싶습니다. 관련 로그를 여는 방법은 무엇입니까? 간단한 문서는 감사할 가치가 있습니다.
답변1
사용 중인 SSH 서버(OpenSSH, dropbear 등)에 대한 자세한 정보를 제공해 주세요. OpenSSH-6.6을 사용하고 있습니다. 해당 구성 파일은 일반적으로 "/etc/ssh/sshd_config"에 있지만 서버에 대한 "-f" 옵션에 대한 인수로 자체 구성 파일을 지정할 수도 있습니다(예: "sshd -f /my/config/) 파일") . 구성 파일에는 관심을 가질 만한 두 가지 옵션이 있습니다.
"SyslogFacility" 문서에 따르면:
sshd(8)에서 메시지를 기록할 때 사용할 기능 코드를 제공합니다.
문서에 따르면 "LogLevel"은 다음과 같습니다.
sshd(8)에서 메시지를 기록할 때 사용할 자세한 수준을 제공합니다.
"/etc/ssh/sshd_config"의 내 설정:
SyslogFacility AUTH
LogLevel INFO
모든 로깅이 진행되는 위치를 처리하기 위해 일부 로깅 데몬(예: rsyslog 또는 Metallog)을 설치할 수도 있습니다. "rsyslog"를 설치하고 "/var/log/auth.log"에 대한 "AUTH" 시설에 대한 모든 로깅을 삭제하도록 구성했습니다. 여기서 다음과 같은 줄을 찾을 수 있습니다.
May 28 20:54:33 MY-HOSTNAME-HERE sshd[2025]: Accepted password for myuser from 127.0.0.1 port 50984 ssh2
May 28 20:54:34 MY-HOSTNAME-HERE sshd[2025]: pam_unix(sshd:session): session opened for user myuser by (uid=0)
May 28 20:55:12 MY-HOSTNAME-HERE sshd[2107]: Received disconnect from 127.0.0.1: 11: disconnected by user
May 28 20:55:12 MY-HOSTNAME-HERE sshd[2025]: pam_unix(sshd:session): session closed for user myuser
나는 이것이 당신이 찾고 있는 것이라고 생각합니다. rsyslog가 sshd 로깅을 이 파일에 저장하도록 하는 특정 구성은 다음과 같습니다.
auth,authpriv.* /var/log/auth.log
Debian 파생 제품에 이러한 소프트웨어를 설치하려면:
$ sudo apt-get install rsyslog openssh-server
인용하다:
- SSHD_CONFIG(5): OpenSSH 서버 구성 파일입니다.
- SSHD(8): OpenSSH 서버용 명령줄 매뉴얼입니다.
- SYSLOG(3): Linux 프로그래머 매뉴얼, 기능 및 로깅 수준을 설명합니다.
- RSYSLOG.CONF(5): rsyslog 데몬에 대한 구성 파일입니다.
- RSYSLOGD(8): rsyslog 데몬에 대한 명령줄 매뉴얼입니다.
답변2
찾고 있는 대부분의 내용은 Linux가 일반적으로 로그를 저장하는 위치인 /var/log/messages에서 찾을 수 있습니다. 나는 보통 좋은 이미지를 얻기 위해 루트 액세스로 다음 세 가지 검색을 실행합니다.
grep -ir ssh /var/log/*
grep -ir breakin /var/log/*
grep -ir security /var/log/*