/var/log/auth.log protokolliert keine fehlgeschlagenen SSH-Versuche

10

Ich versuche, auf meinem Server einen Fehler zu machen (entweder falscher Benutzername, falsches Passwort oder beides).

Ich habe / etc / ssh / sshd_config von geändert

# Logging
SyslogFacility AUTH 
LogLevel INFO

zu

# Logging
SyslogFacility AUTH 
LogLevel VERBOSE

und haben seitdem mehrere ssh-Versuche mit bestehenden und nicht existierenden Benutzern mit zufälligen Passwörtern versucht, was fehlschlägt. Beim Überprüfen von /var/log/auth.log wird nichts angezeigt und es ist vollständig leer.

Was vermisse ich? Muss ein anderer Prozess ebenfalls auf meinem System installiert und ausgeführt werden? Ich verwende Ubuntu.

Jede Hilfe oder Anleitung in dieser Angelegenheit ist mehr als willkommen.

Vielen Dank

ssh logging authentication edev.io
quelle
1
Hast du sshd neu gestartet?
Bonsaiviking
1
Wie sieht Ihre Syslog-Konfiguration aus? Dies wäre wahrscheinlich eine Datei bei /etc/syslog.confoder /etc/rsyslog.confoder/etc/rsyslog.d/*.conf
Stefan Lasiewski
@StefanLasiewski die ersten 2 sind leer und /etc/rsyslog.d/*.confsagt "$ AddUnixListenSocket / var / spool / postfix / dev / log"
edev.io
@ Georgejnr: Wenn dies der Fall ist, scheint die Syslog-Konfiguration auf Ihrem System fehlerhaft zu sein. Normalerweise befindet sich eine Syslog-Datei unter /etc/syslog.conf oder /etc/rsyslog.conf, und normalerweise sollte sich unter /etc/rsyslog.d/*.conf mehr als eine Datei befinden. Zeigt ps auxeinen Syslog-Prozess an?
Stefan Lasiewski
@StefanLasiewski nein es ist nicht in ps aux aufgeführt. Der vorherige Systemadministrator war ein kleiner Schurke und hat ein paar Dinge, von denen ich glaube, absichtlich gebrochen. Denken Sie, dass dies ein Teil davon sein könnte? Wie behebe ich dieses Problem?
edev.io

Antworten:

6

Die LogLevel bezieht sich im Allgemeinen (anscheinend anwendungsabhängig) auf einen der definierten Schweregrade, die vom Systemprotokollierungsprozess (Syslog) unterstützt werden. Ändern Sie es also zurück und starten Sie den sshd-Server neu.

Wenn Sie die Ausgabe nicht erhalten, müssen Sie in der Datei /etc/syslog.conf nachsehen, auf welcher MINIMUM-Ebene der AUTH-Anforderungstyp protokolliert wird und in welcher Datei. Die Fehler werden möglicherweise in eine andere Protokolldatei verschoben. ODER Sie protokollieren diese Fehler möglicherweise nicht aufgrund der Konfiguration von syslog.conf für den AUTH-Dienst. Weitere Informationen finden Sie in den Manpages unter und in der Datei syslog.conf.

mdpc
quelle
Von sshd_config (5) LogLevel: Gibt die Ausführlichkeitsstufe an, die beim Protokollieren von Nachrichten von sshd (8) verwendet wird. Die möglichen Werte sind: QUIET, FATAL, ERROR, INFO, VERBOSE , DEBUG, DEBUG1, DEBUG2 und DEBUG3.
Bonsaiviking
1
Meine /syslog.conf ist leer. Ich muss hinzufügen, dass ich das System eines anderen übernehme und es scheint, dass er es nicht sehr gut eingerichtet hat. Bedeutet das Fehlen von syslog.conf, dass mir ein Dienst fehlt? (Danke für Ihre Antwort)
edev.io
Die Datei befindet sich in /etc. Es ist möglich, dass Sie nichts protokollieren.
Mdpc
Über VERBOSE in sshd_config .... mein Fehler, aber es ist keine Syslog-Protokollstufe, die in vielen der Programme, mit denen ich mich befasst habe, häufig verlangt wird.
Mdpc
Wenn Sie VERBOSE noch in meiner sshd_config belassen und sudo /etc/init.d/ssh neu starten, wird es immer noch nicht protokolliert. Bin ich über etwas dumm?
edev.io
5

Als ich unter Debian das gleiche Problem hatte, musste ich rsyslogd neu starten:

/etc/init.d/rsyslog restart

(Ihr syslogd-Programm kann variieren.)

Dann wurde wieder in /var/log/auth.log geschrieben.

Vielleicht wurde die Protokollierung nach einem Ereignis mit vollem Datenträger beendet, ich bin mir nicht sicher.

Siehe auch: https://bugs.launchpad.net/ubuntu/+source/rsyslog/+bug/1059854/comments/9

Sam Watkins
quelle
Dies hat bei mir funktioniert, aber stattdessen wurde systemctl verwendet, um den Syslog-Dienst neu zu starten (Debian sid mit inetutils-syslogd). systemctl restart inetutils-syslogd.service
Brian Minton
3

In meinem Fall war kein Speicherplatz mehr im Root-Dateisystem vorhanden /, mit dem Sie überprüfen könnendf -h

Gelbir
quelle
3

In meinem Fall lag das Problem im Besitz der /var/log/auth.logDatei. Es war im Besitz von root:rootaber muss sein syslog:adm. Ändern mit

sudo chown syslog:adm /var/log/auth.log

Es scheint ein häufiges Problem mit den neu erstellten Systemen zu sein - es gab mehr Protokolldateien, bei denen dieses Problem auftrat.


quelle