Вопрос: Как проверить журнал sshd?


У меня установлен Ubuntu 9.10 с sshd и я могу успешно подключиться к нему, используя логин и пароль. Я настроил RSA ключевой логин и теперь «Сервер отказался от нашего ключа», как и ожидалось. Хорошо, теперь я хочу проверить sshd log, чтобы выяснить проблему. Я изучил /etc/ssh/sshd_config и

SyslogFacility AUTH
LogLevel INFO

ОК. Я смотрю /var/log/auth.log и ... он пустой O_O. изменения Loglevel в VERBOSE ничего не помогает - auth.log все еще пуст. Любые подсказки, как я могу проверить sshd журнал?


96
2018-04-08 10:22


Источник


Вы проверили вашу конфигурацию syslog? Я не запускаю Ubuntu, но он может перенаправить средство AUTH в другой файл журнала. Может быть / var / log / messages? - Prof. Moriarty
Как проверить конфигурацию syslog? К сожалению, я не очень хороший linux :(. cat /var/log/messages | grep ssh ничего не показывает :(. - grigoryvp
Ты прав. /etc/syslog.conf перенаправляет AUTH на /var/logauth.log, Пожалуйста, напишите свой ответ, чтобы я мог его принять :) - grigoryvp
На моих серверах sshd регистрируется в / var / log / secure. Это настроено в файле /etc/rsyslog.conf, в строке, начинающейся с "authpriv. *" - Isaac Betesh
AuthPriv ?? Как, черт возьми, мы должны были знать, что имело какое-либо отношение к sshd? :-) - Spencer Williams


Ответы:


Если в данный момент никто не использует систему, вы можете сделать то, что я сделал в таких случаях:

  • stop sshd service (по крайней мере, я смог сделать это во время входа в систему через ssh)
  • запустите sshd вручную и добавьте некоторые опции -d, чтобы получить более подробный вывод отладки. Если у вас есть что-то напуганное, он должен использовать те же клавиши и настроить его при запуске должным образом

8
2018-04-08 11:37



Остановка SSHD на удаленном сервере - очень плохая идея. Это может решить проблему для некоторых (или большинства) установок большую часть времени, но если НИЧЕГО идет не так - ваше соединение, питание с обеих сторон, забывчивость и т. Д. - вы заблокированы из коробки. Это плохая новость. - Sudowned
Ну, следует отметить, что единственный способ начать сервис после ручного прекращения - это иметь другой доступ к нему, например, другое удаленное соединение, отличное от SSH, или вы сидите перед ним. - Spencer Williams
Как это отвечает на вопрос? Я приземлился здесь из веб-поиска, ожидая узнать, как проверить файлы журнала SSHD, а не то, что сработало для вас по какой-то проблеме ... Черт, я бы хотел, чтобы читатели в сети Stack Exchange действительно читали и отвечали на вопрос, а не вопрос, который они хотят ... - jww
Вы можете запустить другой sshd на другом порту. Подключитесь к этому. Затем остановите главный sshd и запустите новый на порту 22. Если что-то не удастся, перезагрузите окно, используя DRAC или управление облаками. Вы должны сначала запустить sshd при загрузке? Не беспокойся. - Bruno Bronosky
@JoelESalas Сообщество не решает, какие ответы принимаются. - kasperd


Создание ответа на основе вышеприведенных комментариев, кредит на @Prof. Мориарти и @ Ей Ад

Здесь регистрируются ошибки SSH auth /var/log/auth.log

Следующее должно дать вам только связанные с ssh строки журнала

grep 'sshd' /var/log/auth.log

Чтобы быть в безопасности, получите последние несколько сотен строк и затем выполните поиск (потому что, если файл журнала слишком велик, grep на весь файл будет потреблять больше системных ресурсов, не говоря уже, потребуется больше времени для запуска)

tail -500 /var/log/auth.log | grep 'sshd'


109
2018-02-19 19:56



Этот ответ. Другой ответ с зеленой стрелкой - фиктивный. Изменить стрелку. - nottinhill
Почему бы не использовать tail -f ... контролировать его в режиме реального времени? Это будет проблема с большими файлами журнала? - ingh.am
less +F ... будет «хвостом» в реальном времени, и он намного мощнее, чем хвост - northben
А также lnav даже лучше, чем меньше / хвост - Wayne Werner
P.s .: Если ваш сервер является Red Hat (как CentOS), то путь к журналу записей sshd / log / / var / log / secure (check / var / log для файлов журналов определенных дат тоже). См. Этот ответ: serverfault.com/questions/465833/... - Brian Hellekin


Если вы снова можете попробовать неудачное соединение, легко запустить один из способов:

/usr/sbin/sshd -d -p 2222

и затем повторите соединение с:

ssh -p 2222 user@host

С помощью -p 2222 так что нам не нужно останавливать главный SSH-сервер, который может заблокировать вас.

Смотрите также: https://unix.stackexchange.com/a/55481/32558


2
2017-08-13 07:13





Ты можешь tail -f /var/log/auth.log


-1
2017-11-10 00:44



Добро пожаловать в ServerFault. Вы прочитали вопрос? Он не получает данные в этом файле. tailэто бесполезно, если в нем нет данных. - chicks
@chicks Это смешно. Ответ на большинство голосов почти такой же. - Qback


Если вы хотите просмотреть все сообщения журнала о sshd, запустите это:

grep -rsh sshd /var/log |sort

-2
2018-06-28 14:24



Журналы начнутся с записей типа Mar 14 19:52:04 которые исключают год и нелегко сортируются (хотя вам может повезти с sort --month-sort предполагая, что вы не проходите границу между годами). Сами файлы журналов уже отсортированы, поэтому вам просто нужно отсканировать их в правильном порядке. Кроме того, рекурсивный grep -r вызов будет очень медленным в системах с большими журналами. Нет причин дополнительно сканировать такие вещи, как журналы HTTPD. - Adam Katz