Назад | Перейти на главную страницу

/var/log/auth.log не регистрирует неудачные попытки ssh

Я пытаюсь выйти из строя (неверное имя пользователя, пароль или и то, и другое) на моем сервере.

Я изменил / etc / ssh / sshd_config с

# Logging
SyslogFacility AUTH 
LogLevel INFO

к

# Logging
SyslogFacility AUTH 
LogLevel VERBOSE

и с тех пор пробовал несколько попыток ssh как с существующими, так и с несуществующими пользователями со случайными паролями, что привело к неудаче. При проверке /var/log/auth.log ничего не появляется, и он полностью пустой.

Что мне не хватает? Нужно ли установить и запустить какой-то другой процесс в моей системе? Я использую Ubuntu.

Любая помощь или руководство по этому поводу более чем приветствуются.

Спасибо

Когда у меня возникла такая же проблема в Debian, я обнаружил, что мне нужно перезапустить rsyslogd:

/etc/init.d/rsyslog restart

(Ваша программа syslogd может отличаться.)

Затем он снова начал писать в /var/log/auth.log.

Возможно, он прекратил регистрацию после события переполнения диска, я не уверен.

Смотрите также: https://bugs.launchpad.net/ubuntu/+source/rsyslog/+bug/1059854/comments/9

LogLevel обычно (очевидно, зависит от приложения) относится к одному из определенных уровней серьезности, поддерживаемых процессом ведения системного журнала (syslog). Так что измените его и перезапустите sshd-сервер.

Теперь, если вы не получаете вывод, вам нужно посмотреть в систему /etc/syslog.conf и посмотреть, на каком МИНИМАЛЬНОМ уровне журнала регистрируются запросы типа AUTH и в какой файл. Ошибки могут быть отправлены в другой файл журнала. ИЛИ вы не можете регистрировать эти ошибки из-за конфигурации syslog.conf для службы AUTH. Для получения дополнительной информации обратитесь к страницам руководства по syslog.conf.

В моем случае в корневой файловой системе не осталось места на диске. /, что вы можете проверить с помощью df -h

В моем случае проблема заключалась в праве собственности на /var/log/auth.log файл. Он принадлежал root:root но должно быть syslog:adm. Изменить с

sudo chown syslog:adm /var/log/auth.log

Похоже, это обычная проблема для вновь созданных систем - было больше файлов журналов, в которых была эта проблема.