CentOS에서 sshd 로깅 파일 위치를 변경 하시겠습니까?

14

sshdCentOS 에서 로깅 파일 위치를 어떻게 변경 합니까? 대신에 sshd로그인합니다 . 설정을 변경하여 로그 전송을 중지하려면 어떻게 해야 합니까?/var/log/messages/var/log/securesshd/var/log/messages

centos  logs 
지드 릭
소스
1
당신은 글을 계속 /var/log/message그 위치입니까? 일반적으로 /var/log/messages입니다.
slm
1
@slm 여기/var/log/messages, 아마도 OP가 둘 다 있습니다 ;-)
Anthon
내 우분투 시스템에서 ssh 로그는 다음과 같습니다/var/log/auth.log
Eric Wang

답변:

18

sshd_config다른 것 같은 것을 게시하십시오 . 주식 CentOS 시스템은 항상로 로그인합니다 /var/log/secure.

$ sudo tail -f /var/log/secure
Feb 18 23:23:34 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 18 23:23:36 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2
Feb 18 23:23:42 greeneggs unix_chkpwd[3555]: password check failed for user (root)
Feb 18 23:23:42 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 18 23:23:43 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2
Feb 18 23:23:48 greeneggs sshd[3545]: Accepted password for root from ::1 port 46401 ssh2
Feb 18 23:23:48 greeneggs sshd[3545]: pam_unix(sshd:session): session opened for user root by (uid=0)
Feb 18 23:24:05 greeneggs sshd[3545]: Received disconnect from ::1: 11: disconnected by user
Feb 18 23:24:05 greeneggs sshd[3545]: pam_unix(sshd:session): session closed for user root
Feb 18 23:27:15 greeneggs sudo:     saml : TTY=pts/3 ; PWD=/home/saml ; USER=root ; COMMAND=/bin/tail /var/log/secure

이것은 다음을 통해 제어됩니다 /etc/ssh/sshd_config.

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO

뿐만 아니라 내용 /etc/rsyslog.conf:

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

당신의 문제

귀하의 의견 중 하나에서 rsyslogd구성 파일의 이름이이라고 언급했습니다 /etc/rsyslog.config. 이것은이 파일의 올바른 이름이 아니며 로깅이 망가진 이유 일 수 있습니다. 이 파일의 이름을로 변경 한 /etc/rsyslog.conf다음 로깅 서비스를 다시 시작하십시오.

$ sudo service rsyslog restart
slm
소스
감사합니다. "SyslogFacility AUTHPRIV"가 주석 처리되었는지 궁금합니다. sshd는 기본값이 무엇인지 어떻게 알 수 있습니까? 기본값은 편집 할 수있는 곳에 저장되어 있습니까?
Jidrick
기본값은 sshd실행 파일 을 컴파일하는 데 사용 된 소스 코드에 있습니다. 기본값 을 무시 하려면 sshd명령 행 옵션을 제공하거나 구성 파일을 편집하십시오.
Mark Plotnick
@MarkPlotnick-일반적으로 구성 파일에서 수행되는 것처럼 (위에서 볼 수 있듯이) 기본값은 구성 파일에 표시되지만 주석 처리됩니다. 그래서 ssh그이 때문에 컴파일 LogLevel로 설정 INFO기본적으로. 이를 재정의하려면 해당 줄의 주석을 해제 한 다음 값을 변경해야합니다.
slm
3

기본 sshdsyslog 기능은 AUTH이므로 syslog에로 기록됩니다 /var/log/messages.

sshd새 파일에 로그 를 작성하려면 syslog 기능을 다른 것으로 변경 한 다음 syslog를 구성하여이 새 기능을 새 파일에 기록하십시오.

sshd_config에서 다음 줄을 추가하십시오.

SyslogFacility AUTHPRIV

그런 다음 syslog.conf에서

authpriv.* /var/log/secure
ong 름
소스
@Jidrick-상자에 문제가 있습니다. 깨진 물건이있는 것 같습니다.
slm
@Jidrick : rsyslog와 같은 다른 것을 확인할 수 있습니까?
cuonglm 2013
@Gnouc- SyslogFacility AUTHPRIVRH 배포판에서 이미 기본값입니다. 포장의 일부로이를 대체합니다.
slm
@Gnouc 네, 그러나 이것을 바꾸는 것은 효과가없는 것 같습니다.
Jidrick 2019
@Jidrick - 파일의 이름을 변경 /etc/rsyslog.config하는 방법에 대해 /etc/rsyslog.conf.
slm
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.