Как определить, какой IP-адрес использовался, когда кто-то вошел в систему через ssh?
I ' m пытается выяснить, какой IP-адрес использовался в команде ssh злоумышленником, пытавшимся подключиться к машине по ssh (хотя ему это не удалось). У машины есть несколько сетевых интерфейсов (несколько IP-адресов), и мне нужно выяснить, какой из них был использован злоумышленником. Это означает, что кто-то сделал;
ssh root@XXX.XXX.XXX.XXX
... и я хочу выяснить, что было за XXX.XXX.XXX.XXX . Возможно ли это?
Это на CentOS 7.
Можно просматривать файлы /var/log/secure*.
grep sshd /var/log/secure*
Редактирование
На основании ответа Юрия, вот небольшое улучшение.
grep sshd /var/log/secure* | egrep -i 'accepted|failed'
Кажется, что IP-адрес источника (IP атакующего) можно найти только из /var/log/secure или /var/log/audit/audit.log. Нет указания используемого IP-адреса назначения.
Я думаю, что вы пытаетесь iptables logging, чтобы записать в журнал всю информацию IP/TCP. Вам нужно правило типа:
$ sudo iptables -I INPUT -m state --state NEW -p tcp --dport 22 -j LOG
Это правило будет регистрировать все попытки SSH соединения (неудачные или успешные). Вы можете связать эту информацию с вашим аудитом или безопасным журналом, чтобы узнать результат попытки входа в SSH.
.sshd не регистрирует такую информацию. Если только у вас нет дополнительных средств протоколирования - то нет.