Speicherort der sshd-Protokolldatei unter CentOS ändern?

14

Wie ändere ich den sshdSpeicherort der Protokolldatei unter CentOS? sshdmeldet sich an /var/log/messagesstatt an /var/log/secure. Wie kann ich die Einstellung ändern, damit sshdkeine Protokolle mehr gesendet werden /var/log/messages?

centos logs Jidrick
quelle
1
Schreiben Sie weiter, /var/log/messageist das wirklich der Ort? Es ist im Allgemeinen /var/log/messages.
SLM
1
@slm hier war es /var/log/messages, vielleicht hat OP beide ;-)
Anthon
Auf meinem Ubuntu-System ist das SSH-Protokoll angemeldet/var/log/auth.log
Eric Wang,

Antworten:

18

Bitte posten Sie Ihre sshd_configetwas anderes scheint zu sein. Ein Lager-CentOS-System meldet sich immer an /var/log/secure.

Beispiel

$ sudo tail -f /var/log/secure
Feb 18 23:23:34 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 18 23:23:36 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2
Feb 18 23:23:42 greeneggs unix_chkpwd[3555]: password check failed for user (root)
Feb 18 23:23:42 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 18 23:23:43 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2
Feb 18 23:23:48 greeneggs sshd[3545]: Accepted password for root from ::1 port 46401 ssh2
Feb 18 23:23:48 greeneggs sshd[3545]: pam_unix(sshd:session): session opened for user root by (uid=0)
Feb 18 23:24:05 greeneggs sshd[3545]: Received disconnect from ::1: 11: disconnected by user
Feb 18 23:24:05 greeneggs sshd[3545]: pam_unix(sshd:session): session closed for user root
Feb 18 23:27:15 greeneggs sudo:     saml : TTY=pts/3 ; PWD=/home/saml ; USER=root ; COMMAND=/bin/tail /var/log/secure

Dies wird gesteuert durch /etc/ssh/sshd_config:

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO

Sowie den Inhalt von /etc/rsyslog.conf:

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

Ihr Problem

In einem Ihrer Kommentare haben Sie erwähnt, dass Ihre rsyslogdKonfigurationsdatei benannt wurde /etc/rsyslog.config. Das ist nicht der richtige Name für diese Datei und wahrscheinlich der Grund, warum Ihre Protokollierung fehlerhaft ist. Ändern Sie den Namen dieser Datei in /etc/rsyslog.confund starten Sie den Protokollierungsdienst neu.

$ sudo service rsyslog restart
slm
quelle
Danke, ich habe mich gefragt, ob "SyslogFacility AUTHPRIV" auskommentiert ist. Woher weiß sshd, wie die Standardeinstellungen lauten? Werden die Standardeinstellungen an einem Ort gespeichert, den Sie bearbeiten können?
Jidrick
Die Standardeinstellungen befinden sich im Quellcode, der zum Kompilieren der sshdausführbaren Datei verwendet wurde. Wenn Sie die Standardeinstellungen überschreiben möchten , können Sie sshdBefehlszeilenoptionen angeben oder die Konfigurationsdatei bearbeiten.
Mark Plotnick
@MarkPlotnick - Ja, wie in Konfigurationsdateien üblich (wie oben dargestellt). Die Standardeinstellungen werden in der Konfigurationsdatei angezeigt, aber dann kommentiert. So sshkompiliert wurde , so dass LogLevelfestgelegt wurde INFOstandardmäßig. Um es zu überschreiben, müssen Sie diese Zeile auskommentieren und dann ihren Wert ändern.
SLM
3

Die Standard- sshdSyslog-Funktion ist AUTH, daher wird sie in Syslog bei angemeldet /var/log/messages.

Um eine sshdneue Datei zu protokollieren, können Sie die Syslog-Funktion in eine andere ändern und anschließend Syslog so konfigurieren, dass diese neue Funktion in einer neuen Datei protokolliert wird.

Fügen Sie in sshd_config die folgende Zeile hinzu:

SyslogFacility AUTHPRIV

Dann in der syslog.conf:

authpriv.* /var/log/secure
cuonglm
quelle
@Jidrick - irgendwas stimmt nicht mit deiner Box. Es scheint kaputt zu sein und Dinge zu fehlen.
SLM
@Jidrick: kannst du nach anderen wie rsyslog suchen?
Cuonglm
@Gnouc - SyslogFacility AUTHPRIVist bereits die Standardeinstellung für RH-Distributionen. Sie überschreiben es als Teil der Verpackung.
SLM
@ Gnouc Ja, aber das scheint nicht zu funktionieren.
Jidrick
@Jidrick - Ändern Sie den Namen der Datei /etc/rsyslog.configin /etc/rsyslog.conf.
slm