En CentOS, la información de inicio de sesión se registra en /var/log/secure , no /var/logs/auth.log .
En Centos 7, los registros de SSH se encuentran en "/var/log/secure "
Si desea monitorear en tiempo real, puede usar el comando tail como se muestra a continuación:
tail -f -n 50 /var/log/secure | grep sshd
lastlog(8) reportará la información más reciente del /var/log/lastlog instalación, si tiene pam_lastlog(8) configurado.
aulastlog(8) hará un informe similar, pero a partir de los registros de auditoría en /var/log/audit/audit.log . (Recomendado, como auditd(8) los registros son más difíciles de manipular que syslog(3) registros.)
ausearch -c sshd buscará en sus registros de auditoría los informes del sshd proceso.
last(8) buscará a través de /var/log/wtmp para los inicios de sesión más recientes. lastb(8) mostrará bad login attempts .
/root/.bash_history podría contener algunos detalles, suponiendo que el tonto que jugueteó con su sistema fuera lo suficientemente incompetente como para no eliminarlo antes de cerrar la sesión.
Asegúrate de marcar ~/.ssh/authorized_keys archivos para todos los usuarios en el sistema, marque crontab s para asegurarse de que no se programe la apertura de nuevos puertos en algún momento en el futuro, etc.
Tenga en cuenta que todos los registros almacenados en la máquina local son sospechosos; los únicos registros en los que realmente puede confiar se reenvían a otra máquina que no se vio comprometida. Tal vez valdría la pena investigar el manejo centralizado de registros a través de rsyslog(8) o auditd(8) manejo remoto de máquinas.
También puedes probar:
grep sshd /var/log/audit/audit.log
Y:
last | grep [username]
o
last | head