Bagian ini menjelaskan log keamanan atau log aman yang tercatat di OS Linux (CetnOS 8/7, REDHAT). File yang mencatat koneksi SSH dan operasi login ke server. Dengan memeriksa riwayat secara surut, Anda dapat menyelidiki apakah ada login yang tidak sah atau tidak.
Apa itu log keamanan Linux atau log aman?
File teks yang disimpan di /var/log/secure logging semua catatan informasi terkait keamanan pada sistem komputer disebut file log aman. Jika rotasi log diatur, itu dapat dibagi menjadi beberapa file. Log yang terkait dengan otentikasi juga dicatat dan hanya dapat dibuka oleh user root dalam keadaan awal. Ketika operasi berikut dilakukan, waktunya akan ditulis ke file.
Operasi yang dicatat dalam log keamanan adalah
- Saat masuk ke server
- Saat dipromosikan ke root dengan perintah su
- Saat menggunakan perintah sudo
- Saat daemon SSH mulai/berhenti
- Ketika Anda memasukkan password yang salah
- Ketika koneksi SSH terputus
Ini pada dasarnya adalah file yang ditulis oleh sistem dan berhati-hatilah untuk tidak mengeditnya sendiri.
Periksa akses SSH di log aman
Seperti disebutkan di atas, investigasi yang terkait dengan SSH dan login dicatat, sehingga dapat juga digunakan untuk memeriksa siapa yang mendapatkan akses ke sistem Anda. Gunakan perintah yang diberikan di bawah ini
cat /var/log/aman | grep “sshd” | grep “dari”
Riwayat login SSH diekstraksi dengan melakukan pencarian grep pada log aman. Pada tangkapan layar di bawah, Anda dapat melihat berapa kali kita menggunakan sistem CentOS 8 Linux untuk masuk melalui SSH.
File masa lalu yang diputar log juga dapat dicari sekaligus.
cat /var/log/secure* | grep “sshd” | grep “dari”
Jika dikompres dengan gzip pada saat rotasi, zcat dapat digunakan dengan perintah untuk mendekompresnya.
zcat /var/log/secure-* | grep “sshd” | grep “dari”
Artikel lainnya:
- Cara mengaktifkan Cockpit di CentOS 8 Linux atau Stream
- Apa itu SSH (Protokol shell aman)?