kto logowa

[saiqard]

Mam podejrzenie, ze ktoś zdobył hasło na jednego z użytkowników i poprzez SSH logował się na serwer.
Czy jest możliwość sprawdzenia z jakiego IP i kiedy odbywały się logowania na serwer?

[lis6502]

/var/log/auth.log

[saiqard]

nie ma tam informacji o logowaniu użytkownika.
Są tam tylko logi serwera DHCP, OpenVPN i Crona

[sidjestgit]

Wpisz w konsoli powinna pojawic sie lista logowan wraz z IP

Kod: Zaznacz cały

last

szukaj takich wpisow

Kod: Zaznacz cały

jakisuser      pts/4        chello08907919xx Mon Mar 30 22:11 - 22:53  (00:42)
jakisuser      pts/1        chello08907919xx Mon Mar 30 21:59 - 22:01  (00:01)

[saiqard]

Kod: Zaznacz cały

Wpisz w konsoli powinna pojawic sie lista logowan wraz z IP
Kod:
last

Działa, tylko wyświetla logowania z paru ostatnich dni. a ja potrzebuje dane z blisko pół roku żadne logi nie były kasowane

[sidjestgit]

Powinny byc logi w /var/log/auth.log

takich kwiatkow szukaj

Mar 30 20:31:37 loel sshd[6954]: User root from 2072593582.ddns.onlinedirect.bg not allowed because not listed in AllowUsers
Mar 30 20:31:37 loel sshd[6955]: input_userauth_request: invalid user root
Mar 30 20:31:37 loel sshd[6954]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=2072593582.ddns.onlinedirect.bg user=root

[lis6502]

Skoro nic nie było kasowane, to zarchiwizowane logi znajdziesz w... /var/log. auth.1.log, auth.1.gz itp.

[saiqard]

Skoro nic nie było kasowane, to zarchiwizowane logi znajdziesz w... /var/log. auth.1.log, auth.1.gz itp.

tam mam logi tylko z marca... czy automatycznie archiwizowane są logi co jakiś czas? Czy usuwane przez system?

[Ister]

Cóż, wszystko zależy od konfiguracji...

[lessmian2]

Spójrz do pliku

Kod: Zaznacz cały

/etc/logrotate.d/rsyslog

Domyślnie logi auth.log rotowane są co tydzień i usuwane po czterech rotowaniach - oprócz aktualnego pliku będziesz miał cztery archiwalne. Ale sprawdź dla pewności jak to jest u Ciebie skonfigurowane.