/var/log/auth.log não está registrando falhas nas tentativas ssh

10

Estou tentando falhar (nome de usuário, senha ou ambos incorretos) no meu servidor.

Alterei / etc / ssh / sshd_config de

# Logging
SyslogFacility AUTH 
LogLevel INFO

para

# Logging
SyslogFacility AUTH 
LogLevel VERBOSE

e, desde então, tentaram várias tentativas ssh com usuários existentes e não existentes, com senhas aleatórias com falha. Ao marcar /var/log/auth.log, nada aparece e está totalmente em branco.

o que estou perdendo? Algum outro processo também precisa ser instalado e executado no meu sistema? Estou executando o Ubuntu.

Qualquer ajuda ou orientação sobre esse assunto é mais que bem-vinda.

obrigado

ssh logging authentication edev.io
fonte
1
Você reiniciou o sshd?
precisa saber é o seguinte
1
Como é a sua configuração de syslog? Este seria provavelmente um arquivo em /etc/syslog.confou /etc/rsyslog.confou/etc/rsyslog.d/*.conf
Stefan Lasiewski
@StefanLasiewski os 2 primeiros estão vazios e /etc/rsyslog.d/*.confdiz "$ AddUnixListenSocket / var / spool / postfix / dev / log"
edev.io 4/12/12
@Georgejnr: Se for esse o caso, parece que a configuração do syslog no seu sistema está quebrada. Normalmente, existe um arquivo syslog em /etc/syslog.conf ou /etc/rsyslog.conf, e normalmente deve haver mais de um arquivo em /etc/rsyslog.d/*.conf. Será que ps auxmostram um processo syslog?
Stefan Lasiewski
@StefanLasiewski no, não está listado no ps aux. O administrador do sistema anterior ficou um pouco desonesto e quebrou algumas coisas que acredito de propósito. Acha que isso poderia fazer parte disso? Como resolvo esse problema?
Edev.io 4/12/12

Respostas:

6

O LogLevel geralmente (aparentemente dependente do aplicativo) refere-se a um dos níveis de gravidade definidos suportados pelo processo de registro do sistema (syslog). Então, altere-o novamente e reinicie o servidor sshd.

Agora, se você não está obtendo a saída, é necessário examinar o sistema /etc/syslog.conf e ver em qual nível de registro MÍNIMO o tipo de solicitação AUTH está sendo registrado e em qual arquivo. Os erros podem estar indo para um arquivo de log diferente. OU você pode não estar registrando esses erros devido à configuração syslog.conf do serviço AUTH. Para mais informações, consulte as páginas de manual em e syslog.conf.

mdpc
fonte
From sshd_config (5) LogLevel: fornece o nível de detalhamento usado ao registrar mensagens do sshd (8). Os valores possíveis são: QUIET, FATAL, ERRO, INFO, VERBOSE , DEBUG, DEBUG1, DEBUG2 e DEBUG3.
bonsaiviking
1
meu /syslog.conf está vazio. Devo acrescentar que estou assumindo o sistema de outra pessoa e parece que eles não fizeram um bom trabalho ao configurá-lo. A falta do syslog.conf significa que estou faltando um serviço? (obrigado pela sua resposta)
edev.io 3/12/12
O arquivo está em /etc...... é possível que você não esteja registrando nada.
Mdpc
Sobre o VERBOSE no sshd_config .... meu erro, mas não é um nível de log do syslog que é comumente solicitado em muitos dos programas com os quais lidei.
Mdpc
deixando VERBOSE ainda no meu sshd_config e executando o sudo /etc/init.d/ssh restart, ele ainda não está sendo registrado. Estou sendo burro com alguma coisa?
Edev.io 31/12/12
5

Quando tive o mesmo problema no Debian, descobri que precisava reiniciar o rsyslogd:

/etc/init.d/rsyslog restart

(Seu programa syslogd pode variar.)

Começou a gravar em /var/log/auth.log novamente.

Talvez tenha parado de registrar após um evento cheio de disco, não tenho certeza.

Veja também: https://bugs.launchpad.net/ubuntu/+source/rsyslog/+bug/1059854/comments/9

Sam Watkins
fonte
1
Isso funcionou para mim, mas usando systemctl para reiniciar o serviço syslog (sid Debian usando inetutils-syslogd). systemctl restart inetutils-syslogd.service
Brian Minton 6/18
3

No meu caso, não havia espaço em disco no sistema de arquivos raiz /, que você pode verificar comdf -h

yellowsir
fonte
3

No meu caso, o problema estava com a propriedade do /var/log/auth.logarquivo. Era de propriedade, root:rootmas deve ser syslog:adm. Mude com

sudo chown syslog:adm /var/log/auth.log

Parece ser um problema comum com os sistemas recém-criados - havia mais arquivos de log que tiveram esse problema.


fonte