/var/log/auth.log não está registrando tentativas ssh com falha

9

Estou tentando falhar (nome de usuário incorreto, senha ou ambos) no meu servidor.

Eu alterei o / etc / ssh / sshd_config de

# Logging
SyslogFacility AUTH 
LogLevel INFO

para

# Logging
SyslogFacility AUTH 
LogLevel VERBOSE

e, desde então, tentou várias tentativas ssh com usuários existentes e não existentes, com senhas aleatórias, que falharam. Ao verificar /var/log/auth.log, nada aparece e fica totalmente em branco.

O que estou perdendo? Algum outro processo também precisa ser instalado e executado no meu sistema? Estou executando o Ubuntu.

Qualquer ajuda ou orientação sobre este assunto é mais do que bem-vinda.

Obrigado

    
por edev.io 03.12.2012 / 23:19

4 respostas

6

O LogLevel geralmente (aparentemente dependente do aplicativo) refere-se a um dos níveis de gravidade definidos suportados pelo processo de registro do sistema (syslog). Então mude de volta e reinicie o servidor sshd.

Agora, se você não está obtendo a saída, você precisa olhar para o sistema /etc/syslog.conf e ver qual o nível de registro MÍNIMO do tipo AUTH de pedidos que estão sendo registrados e para qual arquivo. Os erros podem estar indo para um arquivo de log diferente. OU você pode não estar registrando esses erros devido à configuração do syslog.conf para o serviço AUTH. Para mais informações, consulte as páginas man e syslog.conf.

    
por 03.12.2012 / 23:25
3

Quando eu tive o mesmo problema no Debian, descobri que tinha que reiniciar o rsyslogd:

/etc/init.d/rsyslog restart

(Seu programa syslogd pode variar).

Ele começou a gravar em /var/log/auth.log novamente.

Talvez tenha parado de fazer o log após um evento cheio de disco, não tenho certeza.

Veja também: link

    
por 09.09.2014 / 05:06
2

No meu caso, não havia espaço em disco à esquerda no sistema de arquivos raiz / , que você pode verificar com df -h

    
por 11.04.2016 / 14:42
1

No meu caso, o problema estava na posse do arquivo /var/log/auth.log . Ele pertence a root:root , mas deve ser syslog:adm . Mude com

sudo chown syslog:adm /var/log/auth.log

Parece ser um problema comum com os sistemas recém-criados - havia mais arquivos de log, que tinham esse problema.

    
por 09.08.2017 / 16:59