Ich bin damit vertraut, log show | grep 'sshd: error: PAM: authentication error for $user from $ip_address'fehlgeschlagene Anmeldeversuche von verschiedenen IP-Adressen durchzusehen.
Gibt es ein entsprechendes Protokoll, das geschrieben wird, wenn eine erfolgreiche SSH-Verbindung hergestellt und authentifiziert wird (idealerweise würde es Informationen zur Client-IP-Adresse enthalten)?
Ich habe meine Protokolldateien durchgesehen und es scheint keine Protokolle zu geben, die erfolgreiche Anmeldungen aufzeichnen.
Antwort1
Die erfolgreichen SSH-Logins werden zB so protokolliert /var/log/auth.log:
sshd[20007]: Accepted password for username from 192.0.2.123 port 60979 ssh2
sshd[20007]: pam_unix(sshd:session): session opened for user username by (uid=0)
systemd-logind[613]: New session 12345 of user username.
Oder im Falle einer Publickey-Authentifizierung:
sshd[20008]: Accepted publickey for username from 192.0.2.123 port 50460 ssh2