Hoje eu encontrei muitos arquivos de log vazios, estes foram:
/var/log/auth.log
/var/log/syslog
/var/log/daemon.log
/var/log/kern.log
/var/log/mail.log
/var/log/user.log
/var/log/mail.info
/var/log/mail.warn
/var/log/mail.err
/var/log/messages
Primeiro, me fez pensar se eu tinha sido hackeado e alguém estava excluindo seus rastros. Mas, olhando em volta da web em busca de pistas e procurando por atividades suspeitas, não encontrei nenhuma.
Eu decidi tentar reiniciar o rsyslog. E o que você acha? Os logs estão chegando de novo, realmente me mostrando que alguém está tentando forçar usuários SSH. Então eu desliguei o login de senha para o sshd.
Então, minha pergunta é: O rsyslog às vezes fica travado e para de registrar?
Este poderia ser um problema de logrotate? Os arquivos syslog.1 e similares possuem dados de registro.
Isso é devido ao que o logrotate faz. É como um janitor de arquivos de log, move-os, comprime e armazena em cache. Você também pode considerar mudar a porta do servidor SSH, eu corro o meu em 44 em vez de 22 e isso impede que as pessoas façam varreduras idiotas:)