/var/log/auth.log가 실패한 ssh 시도를 로깅하지 않음

10

서버에서 실패했습니다 (잘못된 사용자 이름, 비밀번호 또는 둘 다).

/ etc / ssh / sshd_config를 다음에서 변경했습니다.

# Logging
SyslogFacility AUTH 
LogLevel INFO

에

# Logging
SyslogFacility AUTH 
LogLevel VERBOSE

이후 임의의 암호를 가진 기존 사용자와 기존 사용자가 아닌 여러 사용자를 대상으로 여러 ssh 시도를 시도했지만 실패했습니다. /var/log/auth.log를 확인할 때 아무것도 나타나지 않고 완전히 비어 있습니다.

내가 무엇을 놓치고 있습니까? 시스템에 다른 프로세스도 설치하고 실행해야합니까? 우분투를 실행 중입니다.

이 문제에 대한 도움이나 지침은 환영합니다.

감사

ssh logging authentication

— edev.io
소스

1

sshd를 다시 시작 했습니까?

— bonsaiviking

1

syslog 구성은 어떤 모양입니까? 이것은 아마에서 파일이 될 것입니다 /etc/syslog.conf이나 /etc/rsyslog.conf또는/etc/rsyslog.d/*.conf

— 스테판 Lasiewski

@StefanLasiewski 처음 2는 비어 있고 /etc/rsyslog.d/*.conf"$ AddUnixListenSocket은 / var / 스풀 / 후위는 / dev / 로그"말한다

— edev.io

@Georgejnr :이 경우 시스템의 syslog 구성이 손상된 것으로 보입니다. 일반적으로 /etc/syslog.conf 또는 /etc/rsyslog.conf 아래에 syslog 파일이 있으며 일반적으로 /etc/rsyslog.d/*.conf 아래에 하나 이상의 파일이 있어야합니다. ps auxsyslog 프로세스를 표시 합니까 ?

— Stefan Lasiewski

@StefanLasiewski no 그것은 PS aux에 나열되지 않습니다. 이전의 sysadmin은 약간의 불량을 겪고 의도적으로 믿었던 몇 가지를 깨뜨 렸습니다. 이것이 일부일 수 있다고 생각하십니까? 이 문제를 해결하려면 어떻게해야합니까?

— edev.io

6

LogLevel (일반적으로 응용 프로그램에 따라 다름)은 시스템 로깅 프로세스 (syslog)에서 지원하는 정의 된 심각도 수준 중 하나를 나타냅니다. 다시 변경하고 sshd 서버를 다시 시작하십시오.

이제 출력을 얻지 못하면 /etc/syslog.conf 시스템을보고 AUTH 유형의 요청이 기록되는 최소 로그 수준과 파일을 확인해야합니다. 오류가 다른 로그 파일로 이동했을 수 있습니다. 또는 AUTH 서비스의 syslog.conf 구성으로 인해 이러한 오류를 기록하지 않았을 수 있습니다. 자세한 내용은 syslog.conf의 매뉴얼 페이지를 참조하십시오.

— mdpc
소스

에서 sshd_config에 (5) 로그 레벨 : SSHD의 메시지 (8) 로그인 할 때 사용되는 상세 레벨을 제공합니다. 가능한 값은 QUIET, FATAL, ERROR, INFO, VERBOSE , DEBUG, DEBUG1, DEBUG2 및 DEBUG3입니다.

— bonsaiviking

1

내 /syslog.conf가 비어 있습니다. 나는 다른 사람의 시스템을 인계 받았다는 것을 덧붙여 야하며, 설정을 잘 수행하지 못한 것 같습니다. syslog.conf가 없다는 것이 서비스가 누락되었음을 의미합니까? (당신의 응답을 주셔서 감사합니다)

— edev.io

파일이 / etc에 있습니다. 아무것도 기록하지 않았을 가능성이 있습니다.

— mdpc December

sshd_config .... 내 실수에 대한 VERBOSE 정보,하지만 내가 처리 한 많은 프로그램에서 일반적으로 요청되는 syslog 로그 수준이 아닙니다.

— mdpc December

VERBOSE를 내 sshd_config에 그대로두고 sudo /etc/init.d/ssh restart를 실행하면 여전히 로깅되지 않습니다. 내가 뭔가 멍청한거야?

— edev.io

5

데비안에서 같은 문제가 발생했을 때 rsyslogd를 다시 시작해야한다는 것을 알았습니다.

/etc/init.d/rsyslog restart

(syslogd 프로그램은 다를 수 있습니다.)

/var/log/auth.log에 다시 쓰기 시작했습니다.

디스크가 가득 찬 이벤트 후에 로깅을 중지했을 수도 있습니다.

참조 : https://bugs.launchpad.net/ubuntu/+source/rsyslog/+bug/1059854/comments/9

— 샘 왓킨스
소스

1

이것은 나를 위해 일했지만 syslog 서비스 (inetutils-syslogd를 사용하는 데비안 sid)를 다시 시작하기 위해 systemctl을 사용했습니다. systemctl restart inetutils-syslogd.service

— Brian Minton

3

필자의 경우 루트 파일 시스템 왼쪽에 디스크 공간이 없었으므로 /확인할 수 있습니다.df -h

— Yellowsir
소스

3

필자의 경우 문제는 /var/log/auth.log파일 소유권과 관련이 있습니다. 소유하고 root:root있지만이어야합니다 syslog:adm. 로 변경

sudo chown syslog:adm /var/log/auth.log

새로 생성 된 시스템에서 흔히 발생하는 문제인 것 같습니다.이 문제가 발생한 로그 파일이 더있었습니다.