/var/log/auth.log ไม่ได้บันทึกล้มเหลวพยายาม ssh

10

ฉันพยายามจะล้มเหลว (ชื่อผู้ใช้รหัสผ่านหรือทั้งสองอย่างไม่ถูกต้อง) บนเซิร์ฟเวอร์ของฉัน

ฉันเปลี่ยน / etc / ssh / sshd_config จาก

# Logging
SyslogFacility AUTH 
LogLevel INFO

ถึง

# Logging
SyslogFacility AUTH 
LogLevel VERBOSE

และได้ลองหลายครั้งหลายครั้งกับผู้ใช้ที่มีอยู่และไม่ใช่ผู้ใช้ด้วยรหัสผ่านแบบสุ่มดังนั้นจึงล้มเหลว เมื่อตรวจสอบ /var/log/auth.log ไม่มีอะไรปรากฏขึ้นและมันว่างเปล่าทั้งหมด

ฉันกำลังคิดถึงอะไร กระบวนการอื่น ๆ จำเป็นต้องมีการติดตั้งและใช้งานบนระบบของฉันด้วยหรือไม่ ฉันใช้ Ubuntu

ความช่วยเหลือหรือคำแนะนำใด ๆ ในเรื่องนี้เป็นมากกว่าการต้อนรับ

ขอบคุณ

ssh logging authentication

— edev.io
แหล่งที่มา

1

คุณรีสตาร์ท sshd หรือไม่

— bonsaiviking

1

การกำหนดค่า syslog ของคุณมีลักษณะอย่างไร อาจเป็นไฟล์ที่/etc/syslog.confหรือ/etc/rsyslog.confหรือ/etc/rsyslog.d/*.conf

— Stefan Lasiewski

@StefanLasiewski 2 รายการแรกว่างเปล่าและแจ้ง/etc/rsyslog.d/*.confว่า "$ AddUnixListenSocket / var / spool / postfix / dev / log"

— edev.io

@Georgejnr: หากเป็นเช่นนั้นปรากฏว่าการกำหนดค่า syslog ในระบบของคุณเสีย โดยปกติจะมีไฟล์ syslog ภายใต้ /etc/syslog.conf หรือ /etc/rsyslog.conf และโดยปกติควรมีมากกว่าหนึ่งไฟล์ภายใต้ /etc/rsyslog.d/*.conf ไม่ps auxแสดงให้เห็นกระบวนการ syslog?

— Stefan Lasiewski

@StefanLasiewski ไม่มีมันไม่ได้อยู่ใน ps aux ดูแลระบบก่อนหน้าไปโกงเล็กน้อยและทำลายบางสิ่งที่ฉันเชื่อในวัตถุประสงค์ คิดว่านี่อาจเป็นส่วนหนึ่งของมันได้หรือ ฉันจะแก้ไขปัญหานี้ได้อย่างไร

— edev.io

6

LogLevel โดยทั่วไป (ขึ้นอยู่กับแอพพลิเคชั่น) หมายถึงหนึ่งในระดับความรุนแรงที่กำหนดไว้ซึ่งสนับสนุนโดยกระบวนการบันทึกระบบ (syslog) ดังนั้นเปลี่ยนกลับและรีสตาร์ทเซิร์ฟเวอร์ sshd

ตอนนี้ถ้าคุณไม่ได้รับเอาต์พุตคุณต้องดูระบบ /etc/syslog.conf และดูว่า MINIMUM loglevel ประเภทคำขอ AUTH ประเภทใดที่ถูกบันทึกไว้และไฟล์ใด ข้อผิดพลาดอาจไปยังไฟล์บันทึกอื่น หรือคุณอาจไม่ได้บันทึกข้อผิดพลาดเหล่านี้เนื่องจากการกำหนดค่า syslog.conf สำหรับบริการ AUTH สำหรับข้อมูลเพิ่มเติมโปรดอ่าน man pages on และ syslog.conf

— mdpc
แหล่งที่มา

จากsshd_config (5) LogLevel: ให้ระดับ verbosity ที่ใช้เมื่อบันทึกข้อความจาก sshd (8) ค่าที่เป็นไปได้คือ: QUIET, FATAL, ERROR, INFO, VERBOSE , DEBUG, DEBUG1, DEBUG2 และ DEBUG3

— bonsaiviking

1

/syslog.conf ของฉันว่างเปล่า ฉันต้องเพิ่มว่าฉันเข้ายึดระบบของคนอื่นและดูเหมือนว่าพวกเขาไม่ได้ทำงานที่ดีมากในการตั้งค่า การขาด syslog.conf หมายความว่าฉันขาดบริการหรือไม่ (ขอบคุณสำหรับคำตอบของคุณ)

— edev.io

ไฟล์อยู่ใน /etc......it เป็นไปได้ว่าคุณอาจไม่ได้บันทึกอะไรเลย

— mdpc

เกี่ยวกับ VERBOSE ใน sshd_config .... ความผิดพลาดของฉัน แต่มันไม่ใช่ระดับการบันทึก syslog ซึ่งเป็นที่ถามกันโดยทั่วไปในหลาย ๆ โปรแกรมที่ฉันจัดการ

— mdpc

ปล่อยให้ VERBOSE ยังคงอยู่ใน sshd_config ของฉันและรัน sudo /etc/init.d/ssh รีสตาร์ท แต่ก็ยังไม่ได้ทำการบันทึก ฉันเป็นใบ้เรื่องอะไรเหรอ?

— edev.io

5

เมื่อฉันมีปัญหาเดียวกันกับ Debian ฉันพบว่าฉันต้องเริ่ม rsyslogd ใหม่:

/etc/init.d/rsyslog restart

(โปรแกรม syslogd ของคุณอาจแตกต่างกันไป)

มันเริ่มเขียนถึง /var/log/auth.log อีกครั้ง

บางทีมันอาจหยุดการบันทึกหลังจากเกิดเหตุการณ์ดิสก์เต็มฉันไม่แน่ใจ

ดูเพิ่มเติมที่: https://bugs.launchpad.net/ubuntu/+source/rsyslog/+bug/1059854/comments/9

— แซมวัตคินส์
แหล่งที่มา

1

สิ่งนี้ใช้ได้สำหรับฉัน แต่ใช้ systemctl แทนเพื่อเริ่มบริการ syslog ใหม่ (Debian sid โดยใช้ inetutils-syslogd) systemctl restart inetutils-syslogd.service

— Brian Minton

3

ในกรณีของฉันไม่มีดิสก์เหลืออยู่ทางซ้ายบนระบบไฟล์รู /ทซึ่งคุณสามารถตรวจสอบได้df -h

— yellowsir
แหล่งที่มา

3

ในกรณีของฉันมีปัญหากับเจ้าของ/var/log/auth.logไฟล์ มันเป็นเจ้าของแต่ต้องroot:root syslog:admเปลี่ยนด้วย

sudo chown syslog:adm /var/log/auth.log

ดูเหมือนจะเป็นปัญหาทั่วไปของระบบที่สร้างขึ้นใหม่ - มีไฟล์บันทึกเพิ่มเติมซึ่งมีปัญหานี้