/var/log/auth.log не регистрирует неудачные попытки ssh

10

Я пытаюсь выйти из строя (неверное имя пользователя, пароль или оба) на моем сервере.

Я изменил / etc / ssh / sshd_config из

# Logging
SyslogFacility AUTH 
LogLevel INFO

в

# Logging
SyslogFacility AUTH 
LogLevel VERBOSE

и с тех пор попробовал несколько попыток ssh с существующими и несуществующими пользователями со случайными паролями, таким образом терпя неудачу. При проверке /var/log/auth.log ничего не появляется и оно совершенно пустое.

Что мне не хватает? Нужно ли устанавливать и запускать какой-то другой процесс в моей системе? Я использую Ubuntu.

Любая помощь или руководство по этому вопросу более чем приветствуются.

Спасибо

ssh logging authentication edev.io
источник
1
Вы перезапустили sshd?
Бонсайвинг
1
Как выглядит ваша конфигурация системного журнала? Вероятно, это будет файл в /etc/syslog.confили /etc/rsyslog.confили/etc/rsyslog.d/*.conf
Stefan Lasiewski
@StefanLasiewski первые 2 пусты и /etc/rsyslog.d/*.confговорят «$ AddUnixListenSocket / var / spool / postfix / dev / log»
edev.io
@ Georgejnr: Если это так, то похоже, что конфигурация системного журнала в вашей системе нарушена. Обычно в /etc/syslog.conf или /etc/rsyslog.conf есть файл системного журнала, и обычно в /etc/rsyslog.d/*.conf должно быть более одного файла. Имеет ли ps auxпоказать в системном журнале процесс?
Стефан Ласевски
@StefanLasiewski нет, он не указан в PS Aux. Предыдущий сисадмин стал немного жуликом и сломал несколько вещей, в которые я верю нарочно. Думаешь, это может быть частью этого? Как мне решить проблему?
edev.io

Ответы:

6

Уровень LogLevel в целом (по-видимому, зависит от приложения) относится к одному из определенных уровней серьезности, поддерживаемых процессом ведения журнала системы (системный журнал). Поэтому верните его обратно и перезапустите сервер sshd.

Теперь, если вы не получаете вывод, вам нужно взглянуть на систему /etc/syslog.conf и посмотреть, на каком уровне MINIMUM регистрируется тип запросов AUTH и в какой файл. Ошибки могут быть в другом файле журнала. ИЛИ вы можете не регистрировать эти ошибки из-за конфигурации syslog.conf для службы AUTH. Для получения дополнительной информации обратитесь к страницам справки и syslog.conf.

Якорь,
источник
Из sshd_config (5) LogLevel: дает уровень детализации, который используется при регистрации сообщений от sshd (8). Возможные значения: QUIET, FATAL, ERROR, INFO, VERBOSE , DEBUG, DEBUG1, DEBUG2 и DEBUG3.
Бонсайвинг
1
Мой /syslog.conf пуст. Я должен добавить, что я беру на себя чужую систему, и кажется, что они не очень хорошо ее настроили. Означает ли отсутствие syslog.conf, что я пропускаю сервис? (спасибо за ваш ответ)
edev.io
Файл находится в /etc...... Возможно, что вы ничего не регистрируете.
mdpc
Насчет VERBOSE в sshd_config .... моя ошибка, но это не уровень журнала системного журнала, который обычно запрашивается во многих программах, с которыми я имел дело.
mdpc
оставив VERBOSE в моем sshd_config и запустив sudo /etc/init.d/ssh restart, он по-прежнему не регистрируется. Я что-то тупой?
edev.io
5

Когда у меня возникла та же проблема в Debian, я обнаружил, что должен был перезапустить rsyslogd:

/etc/init.d/rsyslog restart

(Ваша программа syslogd может отличаться.)

Он снова начал писать в /var/log/auth.log.

Возможно, он прекратил запись в журнал после события переполнения диска, я не уверен.

Смотрите также: https://bugs.launchpad.net/ubuntu/+source/rsyslog/+bug/1059854/comments/9

Сэм Уоткинс
источник
1
Это сработало для меня, но вместо этого я использовал systemctl для перезапуска службы syslog (Debian sid использует inetutils-syslogd). systemctl restart inetutils-syslogd.service
Брайан Минтон
3

В моем случае на корневой файловой системе не осталось дискового пространства /, которое можно проверить с помощьюdf -h

yellowsir
источник
3

В моем случае проблема была с владением /var/log/auth.logфайлом. Это было в собственности, root:rootно должно быть syslog:adm. Изменить с

sudo chown syslog:adm /var/log/auth.log

Похоже, что это общая проблема с недавно созданными системами - было больше файлов журнала, в которых была эта проблема.


источник