Например, если кто-то пытается SSH на другой сервер или подключиться к другому серверу с моего сервера Ubuntu?
Есть ли файл журнала для этого?
К сожалению, не по умолчанию. Вы можете использовать свой брандмауэр для его создания. Предполагая, что вы используете ufw:
# ufw allow out log to any proto tcp port 22
Будет регистрировать все исходящие соединения на любом сервере на порту tcp 22. Место файла журнала должно быть /var/log/ufw.log, но оно может записать его на /var/log/kern.log или /var/log/syslog в зависимости от конфигурации rsyslog.
Да, для проверки этого используется следующая команда:
sudo journalctl -u ssh
В случае, если журнал слишком длинный, вы можете pipe, что в tail или head в зависимости от того, какая часть записи, которые вы хотите увидеть:
sudo journalctl -u ssh | [tail | head]
К сожалению, не по умолчанию. Вы можете использовать свой брандмауэр для его создания. Предполагая, что вы используете ufw:
# ufw allow out log to any proto tcp port 22
Будет регистрировать все исходящие соединения на любом сервере на порту tcp 22. Место файла журнала должно быть /var/log/ufw.log, но оно может записать его на /var/log/kern.log или /var/log/syslog в зависимости от конфигурации rsyslog.
Да, для проверки этого используется следующая команда:
sudo journalctl -u ssh
В случае, если журнал слишком длинный, вы можете pipe, что в tail или head в зависимости от того, какая часть записи, которые вы хотите увидеть:
sudo journalctl -u ssh | [tail | head]