/var/log/auth.log не регистрирует неудачные попытки ssh

10

Я пытаюсь выйти из строя (неверное имя пользователя, пароль или оба) на моем сервере.

Я изменил / etc / ssh / sshd_config из

# Logging
SyslogFacility AUTH 
LogLevel INFO

в

# Logging
SyslogFacility AUTH 
LogLevel VERBOSE

и с тех пор попробовал несколько попыток ssh с существующими и несуществующими пользователями со случайными паролями, таким образом терпя неудачу. При проверке /var/log/auth.log ничего не появляется и оно совершенно пустое.

Что мне не хватает? Нужно ли устанавливать и запускать какой-то другой процесс в моей системе? Я использую Ubuntu.

Любая помощь или руководство по этому вопросу более чем приветствуются.

Спасибо

ssh logging authentication

— edev.io
источник

1

Вы перезапустили sshd?

— Бонсайвинг

1

Как выглядит ваша конфигурация системного журнала? Вероятно, это будет файл в /etc/syslog.confили /etc/rsyslog.confили/etc/rsyslog.d/*.conf

— Stefan Lasiewski

@StefanLasiewski первые 2 пусты и /etc/rsyslog.d/*.confговорят «$ AddUnixListenSocket / var / spool / postfix / dev / log»

— edev.io

@ Georgejnr: Если это так, то похоже, что конфигурация системного журнала в вашей системе нарушена. Обычно в /etc/syslog.conf или /etc/rsyslog.conf есть файл системного журнала, и обычно в /etc/rsyslog.d/*.conf должно быть более одного файла. Имеет ли ps auxпоказать в системном журнале процесс?

— Стефан Ласевски

@StefanLasiewski нет, он не указан в PS Aux. Предыдущий сисадмин стал немного жуликом и сломал несколько вещей, в которые я верю нарочно. Думаешь, это может быть частью этого? Как мне решить проблему?

— edev.io

6

Уровень LogLevel в целом (по-видимому, зависит от приложения) относится к одному из определенных уровней серьезности, поддерживаемых процессом ведения журнала системы (системный журнал). Поэтому верните его обратно и перезапустите сервер sshd.

Теперь, если вы не получаете вывод, вам нужно взглянуть на систему /etc/syslog.conf и посмотреть, на каком уровне MINIMUM регистрируется тип запросов AUTH и в какой файл. Ошибки могут быть в другом файле журнала. ИЛИ вы можете не регистрировать эти ошибки из-за конфигурации syslog.conf для службы AUTH. Для получения дополнительной информации обратитесь к страницам справки и syslog.conf.

— Якорь,
источник

Из sshd_config (5) LogLevel: дает уровень детализации, который используется при регистрации сообщений от sshd (8). Возможные значения: QUIET, FATAL, ERROR, INFO, VERBOSE , DEBUG, DEBUG1, DEBUG2 и DEBUG3.

— Бонсайвинг

1

Мой /syslog.conf пуст. Я должен добавить, что я беру на себя чужую систему, и кажется, что они не очень хорошо ее настроили. Означает ли отсутствие syslog.conf, что я пропускаю сервис? (спасибо за ваш ответ)

— edev.io

Файл находится в /etc...... Возможно, что вы ничего не регистрируете.

— mdpc

Насчет VERBOSE в sshd_config .... моя ошибка, но это не уровень журнала системного журнала, который обычно запрашивается во многих программах, с которыми я имел дело.

— mdpc

оставив VERBOSE в моем sshd_config и запустив sudo /etc/init.d/ssh restart, он по-прежнему не регистрируется. Я что-то тупой?

— edev.io

5

Когда у меня возникла та же проблема в Debian, я обнаружил, что должен был перезапустить rsyslogd:

/etc/init.d/rsyslog restart

(Ваша программа syslogd может отличаться.)

Он снова начал писать в /var/log/auth.log.

Возможно, он прекратил запись в журнал после события переполнения диска, я не уверен.

— Сэм Уоткинс
источник

1

Это сработало для меня, но вместо этого я использовал systemctl для перезапуска службы syslog (Debian sid использует inetutils-syslogd). systemctl restart inetutils-syslogd.service

— Брайан Минтон

3

В моем случае на корневой файловой системе не осталось дискового пространства /, которое можно проверить с помощьюdf -h

— yellowsir
источник

3

В моем случае проблема была с владением /var/log/auth.logфайлом. Это было в собственности, root:rootно должно быть syslog:adm. Изменить с

sudo chown syslog:adm /var/log/auth.log

Похоже, что это общая проблема с недавно созданными системами - было больше файлов журнала, в которых была эта проблема.