SSH não está registrando corretamente

3

Estou vendo /var/log/auth.log em um servidor da Web Debian e a última coisa que ele registrou foi:

Jul  2 21:09:01 h311 /USR/SBIN/CRON[25912]: (root) CMD (  [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -depth -mindepth 1 -maxdepth 1 -type f -ignore_readdir_race -cmin +$(/usr/lib/php5/maxlifetime) ! -execdir fuser -s {} 2>/dev/null \; -delete)
Jul  2 21:12:37 h311 systemd[1]: Reloading.

/var/log/syslog has tem 0 bytes de tamanho. Logs mais antigos estão em seus arquivos.

Eu tentei excluí-lo, reiniciando os serviços. Ele foi criado novamente, com 0 bytes de tamanho, novamente.

Eu tentei instalar coisas como o syslog-ng neste servidor e as deletei depois de algumas brincadeiras. Alguns pacotes que eu instalei poderiam ter adulterado a configuração, mas não posso dizer exatamente.

Há também mais de um superusuário nesse servidor, então pode ser outra coisa.

O que devo verificar e tentar fazer para que o registro funcione novamente?

    
por cab00t 24.10.2014 / 13:08

1 resposta

2

Como indicado nos comentários, seu sistema está usando o systemd para gerenciamento de serviços. O Systemd é um substituto para o SysVinit tradicional. Ele também é agrupado em muitas outras coisas, como um coletor de syslog. Neste caso, para obter acesso aos seus registros, você precisa usar o comando journalctl .

$ journalctl

Se você quiser ver apenas os sshd logs, pode passar um filtro:

$ journalctl -n 1 _COMM=sshd
-- Logs begin at Wed 2014-10-22 19:29:29 EDT, end at Fri 2014-10-24 09:05:09 EDT. --
Oct 24 09:05:09 gadget sshd[5800]: pam_unix(sshd:session): session closed for user phemmer

Você pode ver quais são os campos de filtro disponíveis alterando o formato de saída para verbose :

$ journalctl -n 1 -o verbose
Fri 2014-10-24 09:05:09.533633 EDT [s=30566909a26443ffb7185d318ccc4cd6;i=3d5d;b=19dd64e325fd4577a78af1a73f005b6c;m=1e82168a3c;t=5062ad4a511bc;x=1fae374af8a7dbc3]
    PRIORITY=6
    _UID=0
    _GID=0
    _BOOT_ID=19dd64e325fd4577a78af1a73f005b6c
    _MACHINE_ID=5288dcb47f9fed3ab946f54754305a4f
    _HOSTNAME=gadget
    _CAP_EFFECTIVE=1fffffffff
    _TRANSPORT=syslog
    SYSLOG_FACILITY=10
    SYSLOG_IDENTIFIER=sshd
    _COMM=sshd
    _EXE=/usr/sbin/sshd
    _SYSTEMD_OWNER_UID=1000
    _SYSTEMD_SLICE=user-1000.slice
    _PID=5800
    _CMDLINE=sshd: phemmer [priv]   
    _SYSTEMD_CGROUP=/user.slice/user-1000.slice/session-3.scope
    _SYSTEMD_SESSION=3
    _SYSTEMD_UNIT=session-3.scope
    MESSAGE=pam_unix(sshd:session): session closed for user phemmer
    _SOURCE_REALTIME_TIMESTAMP=1414155909533633

Para responder ao seu comentário sobre a desativação do systemd. Eu não aconselharia. Sua distribuição está indo em direção ao systemd, e extrair um componente central do sistema provavelmente tornará sua vida extremamente difícil.
Seria possível desabilitar apenas o diário de log e usar um daemon syslog tradicional, sem muita dor, mas eu recomendaria aprender a usar o diário antes de decidir não usá-lo. Ir contra a convenção não deve ser feito de ânimo leve.

    
por 24.10.2014 / 15:12