Вопрос: /var/log/auth.log не протоколирование неудачных попыток ssh


Я пытаюсь пойти неудачно (неправильное имя пользователя, пароль или оба) на моем сервере.

Я изменил / etc / ssh / sshd_config из

# Logging
SyslogFacility AUTH 
LogLevel INFO

в

# Logging
SyslogFacility AUTH 
LogLevel VERBOSE

и с тех пор пробовал несколько попыток ssh как с существующими, так и с не существующими пользователями со случайными паролями, таким образом, сбой. При проверке /var/log/auth.log ничего не отображается, и оно полностью пустое.

Что мне не хватает? Нужно ли также устанавливать и запускать какой-либо другой процесс в моей системе? Я запускаю Ubuntu.

Любая помощь или руководство по этому вопросу более чем приветствуются.

благодаря


7
2017-12-03 22:19


Источник


Вы перезапустили sshd? - bonsaiviking
Как выглядит ваша конфигурация syslog? Вероятно, это будет файл на /etc/syslog.conf или /etc/rsyslog.conf или /etc/rsyslog.d/*.conf - Stefan Lasiewski
@StefanLasiewski первые 2 пустые и /etc/rsyslog.d/*.conf говорит: «$ AddUnixListenSocket / var / spool / postfix / dev / log» - edev.io
@Georgejnr: Если это так, похоже, что конфигурация syslog в вашей системе нарушена. Обычно файл syslog находится в файле /etc/syslog.conf или /etc/rsyslog.conf, и обычно в файле /etc/rsyslog.d/*.conf должно быть больше одного файла. Есть ли ps auxпоказать процесс syslog? - Stefan Lasiewski
@StefanLasiewski нет, он не указан в ps aux. Предыдущий системный администратор отправился немного изгоев и сломал несколько вещей, которые я считаю нарочно. Думаете, это может быть частью этого? Как мне решить эту проблему? - edev.io


Ответы:


Обычно LogLevel (видимо, зависит от приложения) относится к одному из определенных уровней серьезности, поддерживаемых процессом регистрации системы (syslog). Поэтому измените его и перезапустите сервер sshd.

Теперь, если вы не получаете результат, вам нужно посмотреть на систему /etc/syslog.conf и посмотреть, какой МИНИМАЛЬНЫЙ loglevel регистрирует тип запросов AUTH и какой файл. Ошибки могут происходить в другом файле журнала. ИЛИ вы не можете регистрировать эти ошибки из-за конфигурации syslog.conf для службы AUTH. Для получения дополнительной информации обратитесь к man-страницам и syslog.conf.


5
2017-12-03 22:25



Из sshd_config (5) LogLevel: дает уровень детализации, который используется при регистрации сообщений из sshd (8). Возможные значения: QUIET, FATAL, ERROR, INFO, ПОДРОБНЫЙ, DEBUG, DEBUG1, DEBUG2 и DEBUG3. - bonsaiviking
my /syslog.conf пуст. Я должен добавить, что я беру на себя чужую систему, и кажется, что они не очень хорошо ее настраивали. Недостаток syslog.conf означает, что мне не хватает службы? (Спасибо за ваш ответ) - edev.io
Файл находится в /etc ... .. возможно, что вы ничего не регистрируете. - mdpc
О VERBOSE в sshd_config .... моя ошибка, но это не уровень журнала syslog, который обычно просят во многих программах, с которыми я имел дело. - mdpc
оставляя VERBOSE еще в моем sshd_config и запуская sudo /etc/init.d/ssh, он все еще не регистрируется. Я что-то невнятно? - edev.io


Когда у меня была такая же проблема в Debian, я обнаружил, что мне нужно перезапустить rsyslogd:

/etc/init.d/rsyslog restart

(Ваша программа syslogd может отличаться.)

Он снова начал писать в /var/log/auth.log.

Возможно, он прекратил регистрацию после полного события на диске, я не уверен.

Смотрите также: https://bugs.launchpad.net/ubuntu/+source/rsyslog/+bug/1059854/comments/9


2
2017-09-09 03:06





В моем случае в корневой файловой системе не было дискового пространства слева /, с которым вы можете проверить df -h


0
2018-04-11 12:42





В моем случае проблема заключалась в /var/log/auth.log файл. Он принадлежал root:root но должно быть syslog:adm, Изменить с помощью

sudo chown syslog:adm /var/log/auth.log

Это, по-видимому, общая проблема с недавно созданными системами - было больше журнальных файлов, в которых была эта проблема.


0
2017-08-09 14:59





Я встретил эту ошибку на HP DL160 с сервером Debian 8.10. Мы устанавливаем его с чистого установочного диска (USB) безупречно. Когда мы пытаемся подключиться к серверу с помощью шпатлевки из окна Windows, встретились с отказом доступа, и мы не увидели никакого входа в auth.log. Мы обнаружили, что сервер HP имеет общий Ethernet-порт для функций МОТ и ЛВС. В моем случае мы видим IP-адрес ILO на экране 192.168.1.105, и мы пропустили этот ip не для LAN. Мы попытались бы подключиться к серверу с IP-адресом ILO, мы не получили ошибку, потому что ILO использует также порт 22, и мы не могли видеть никаких записей в файле auth.log. Когда мы используем реальный ip в локальной сети, мы могли бы успешно подключиться к серверу. Надеюсь, вы устраните проблему таким образом.


-1
2018-03-01 07:14



Это не имеет никакого отношения к вопросу, и на этот вопрос уже ответили. - Lenniey