/var/log/auth.log không đăng nhập các lần thử ssh không thành công

10

Tôi đang cố gắng để thất bại (tên người dùng, mật khẩu hoặc cả hai) không chính xác trên máy chủ của tôi.

Tôi đã thay đổi / etc / ssh / sshd_config từ

# Logging
SyslogFacility AUTH 
LogLevel INFO

đến

# Logging
SyslogFacility AUTH 
LogLevel VERBOSE

và kể từ đó đã thử nhiều lần thử ssh với cả người dùng hiện tại và không thoát với mật khẩu ngẫu nhiên, do đó không thành công. Khi kiểm tra /var/log/auth.log không có gì xuất hiện và nó hoàn toàn trống.

Tôi đang thiếu gì? Có một số quy trình khác cũng cần phải được cài đặt và chạy trên hệ thống của tôi không? Tôi đang chạy Ubuntu.

Bất kỳ trợ giúp hoặc hướng dẫn về vấn đề này được chào đón nhiều hơn.

Cảm ơn

ssh logging authentication

— edev.io
nguồn

1

Bạn đã khởi động lại sshd?

— bonsaiviking

1

Cấu hình nhật ký hệ thống của bạn trông như thế nào? Đây có lẽ sẽ là một tập tin tại /etc/syslog.confhoặc /etc/rsyslog.confhoặc/etc/rsyslog.d/*.conf

— Stefan Lasiewski

@StefanLasiewski 2 cái đầu tiên trống và /etc/rsyslog.d/*.confnói "$ AddUnixListenSocket / var / spool / postfix / dev / log"

— edev.io

@Georgejnr: Nếu đó là trường hợp, có vẻ như cấu hình nhật ký hệ thống trên hệ thống của bạn bị hỏng. Thông thường có một tệp syslog trong /etc/syslog.conf hoặc /etc/rsyslog.conf, và thông thường nên có nhiều hơn một tệp trong /etc/rsyslog.d/*.conf. Có ps auxhiển thị một quá trình nhật ký hệ thống?

— Stefan Lasiewski

@StefanLasiewski không, nó không được liệt kê trong ps. Sysadmin trước đó đã đi một chút lừa đảo và phá vỡ một vài điều tôi tin vào mục đích. Hãy nghĩ rằng đây có thể là một phần của nó? Làm thế nào để tôi sửa chữa vấn đề này?

— edev.io

6

LogLevel nói chung (phụ thuộc vào ứng dụng) đề cập đến một trong các mức độ nghiêm trọng được xác định được hỗ trợ bởi quy trình ghi nhật ký hệ thống (syslog). Vì vậy, thay đổi nó trở lại và khởi động lại máy chủ sshd.

Bây giờ nếu bạn không nhận được đầu ra, bạn cần xem hệ thống /etc/syslog.conf và xem MINIMUM loglevel loại yêu cầu AUTH nào đang được ghi và vào tệp nào. Các lỗi có thể đi đến một tệp nhật ký khác. HOẶC bạn có thể không đăng nhập các lỗi này do cấu hình syslog.conf cho dịch vụ AUTH. Để biết thêm thông tin tham khảo các trang người đàn ông trên và syslog.conf.

— mdpc
nguồn

Từ sshd_config (5) LogLevel: Cung cấp mức độ chi tiết được sử dụng khi ghi nhật ký tin nhắn từ sshd (8). Các giá trị có thể là: QUIET, FATAL, ERROR, INFO, VERBOSE , DEBUG, DEBUG1, DEBUG2 và DEBUG3.

— bonsaiviking

1

/syslog.conf của tôi trống. Tôi phải nói thêm rằng tôi đang tiếp quản hệ thống của người khác và có vẻ như họ đã không làm rất tốt việc thiết lập nó. Có phải thiếu syslog.conf có nghĩa là tôi đang thiếu một dịch vụ không? (cảm ơn phản hồi của bạn)

— edev.io

Tệp nằm trong /etc......có thể bạn không đăng nhập được gì.

— mdpc

Giới thiệu về ĐỘNG TỪ trong sshd_config .... lỗi của tôi, nhưng nó không phải là mức nhật ký nhật ký hệ thống thường được yêu cầu trong nhiều chương trình tôi đã xử lý.

— mdpc

để lại ĐỘNG TỪ trong sshd_config của tôi và chạy sudo /etc/init.d/ssh khởi động lại nó vẫn không đăng nhập. Tôi có bị câm về điều gì không?

— edev.io

5

Khi tôi gặp vấn đề tương tự trên Debian, tôi thấy tôi phải khởi động lại rsyslogd:

/etc/init.d/rsyslog restart

(Chương trình syslogd của bạn có thể thay đổi.)

Nó bắt đầu viết vào /var/log/auth.log một lần nữa.

Có lẽ nó đã ngừng đăng nhập sau một sự kiện đầy đĩa, tôi không chắc chắn.

Xem thêm: https://bugs.launchpad.net/ubfox/+source/rsyslog/+orms/1059854/comments/9

— Sam Watkins
nguồn

1

Điều này làm việc cho tôi, nhưng thay vào đó sử dụng systemctl để khởi động lại dịch vụ nhật ký hệ thống (Debian sid sử dụng inetutils-syslogd). systemctl restart inetutils-syslogd.service

— Brian Minton

3

Trong trường hợp của tôi, không có không gian đĩa bên trái trên hệ thống tập tin gốc /, mà bạn có thể kiểm tra vớidf -h

— màu vàng
nguồn

3

Trong trường hợp của tôi, vấn đề là quyền sở hữu của /var/log/auth.logtập tin. Nó thuộc sở hữu của root:rootnhưng phải syslog:adm. Thay đổi với

sudo chown syslog:adm /var/log/auth.log

Nó dường như là một vấn đề phổ biến với các hệ thống mới được tạo - có nhiều tệp nhật ký hơn, có vấn đề này.