CentOS ではログイン情報は /var/log/secure に記録されます 、 /var/logs/auth.log ではありません .
Centos 7 では、SSH ログは「/var/log/secure」にあります。 "
リアルタイムで監視したい場合は、以下に示すように tail コマンドを使用できます:
tail -f -n 50 /var/log/secure | grep sshd
lastlog(8) /var/log/lastlog からの最新情報を報告します pam_lastlog(8) がある場合は施設
aulastlog(8) 同様のレポートを作成しますが、/var/log/audit/audit.log の監査ログから . (推奨、auditd(8) として レコードは syslog(3) よりも改ざんが困難です 記録します。)
ausearch -c sshd sshd からのレポートの監査ログを検索します
last(8) /var/log/wtmp を検索します 最近のログイン用。 lastb(8) bad login attempts が表示されます .
/root/.bash_history あなたのシステムをいじったグーバーが無能で、ログアウトする前にシステムを削除しなかったと仮定すると、いくつかの詳細が含まれている可能性があります。
~/.ssh/authorized_keys を確認してください すべてのユーザーのファイル システムで、crontab を確認してください 将来のある時点で新しいポートが開かれる予定がないことを確認するなど。
ローカル マシンに保存されているログはすべて疑わしいことに注意してください。現実的に信頼できる唯一のログ 侵害されていない別のマシンに転送されます。おそらく、rsyslog(8) による集中ログ処理を調査する価値があるでしょう。 または auditd(8) リモート マシン ハンドリング。
以下を試すこともできます:
grep sshd /var/log/audit/audit.log
そして:
last | grep [username]
または
last | head