Su CentOS le informazioni di accesso sono registrate in /var/log/secure , non /var/logs/auth.log .
In Centos 7 i log SSH si trovano in "/var/log/secure "
Se desideri monitorare in tempo reale, puoi utilizzare il comando tail come mostrato di seguito:
tail -f -n 50 /var/log/secure | grep sshd
lastlog(8) riporterà le informazioni più recenti dal /var/log/lastlog facility, se hai pam_lastlog(8) configurato.
aulastlog(8) farà un report simile, ma dai log di controllo in /var/log/audit/audit.log . (Consigliato, come auditd(8) i record sono più difficili da manomettere rispetto a syslog(3) record.)
ausearch -c sshd cercherà i tuoi registri di controllo per i rapporti dal sshd processo.
last(8) cercherà attraverso /var/log/wtmp per gli accessi più recenti. lastb(8) mostrerà bad login attempts .
/root/.bash_history potrebbe contenere alcuni dettagli, supponendo che il goober che ha manipolato il tuo sistema fosse abbastanza incompetente da non rimuoverlo prima di disconnettersi.
Assicurati di selezionare ~/.ssh/authorized_keys file per tutti gli utenti sul sistema, seleziona crontab s per assicurarsi che non sia programmata l'apertura di nuove porte in futuro, ecc.
Si noti che tutti i registri archiviati sulla macchina locale sono sospetti; gli unici log di cui puoi realisticamente fidarti vengono inoltrati a un'altra macchina che non è stata compromessa. Forse varrebbe la pena indagare sulla gestione centralizzata dei log tramite rsyslog(8) o auditd(8) gestione remota della macchina.
Puoi anche provare:
grep sshd /var/log/audit/audit.log
E:
last | grep [username]
o
last | head