Ubah lokasi file sshd logging di CentOS?

14

Bagaimana cara mengubah sshdlokasi file logging di CentOS? sshdlog ke /var/log/messagesbukan /var/log/secure. Bagaimana saya bisa mengubah pengaturan sehingga sshdakan berhenti mengirim log /var/log/messages?

Jidrick
sumber
1
Anda terus menulis /var/log/messageapakah itu benar-benar lokasi? Secara umum /var/log/messages.
slm
1
@slm di sini itu /var/log/messages, mungkin OP telah baik ;-)
Anthon
Di sistem ubuntu saya, ssh log ada di/var/log/auth.log
Eric Wang

Jawaban:

18

Silakan kirim sshd_configsesuatu yang lain sepertinya sudah selesai. Sistem stok CentOS selalu masuk ke /var/log/secure.

Contoh

$ sudo tail -f /var/log/secure
Feb 18 23:23:34 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 18 23:23:36 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2
Feb 18 23:23:42 greeneggs unix_chkpwd[3555]: password check failed for user (root)
Feb 18 23:23:42 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 18 23:23:43 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2
Feb 18 23:23:48 greeneggs sshd[3545]: Accepted password for root from ::1 port 46401 ssh2
Feb 18 23:23:48 greeneggs sshd[3545]: pam_unix(sshd:session): session opened for user root by (uid=0)
Feb 18 23:24:05 greeneggs sshd[3545]: Received disconnect from ::1: 11: disconnected by user
Feb 18 23:24:05 greeneggs sshd[3545]: pam_unix(sshd:session): session closed for user root
Feb 18 23:27:15 greeneggs sudo:     saml : TTY=pts/3 ; PWD=/home/saml ; USER=root ; COMMAND=/bin/tail /var/log/secure

Ini dikendalikan melalui /etc/ssh/sshd_config:

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO

Serta isi dari /etc/rsyslog.conf:

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

Masalah Anda

Dalam salah satu komentar Anda, Anda menyebutkan bahwa rsyslogdfile konfigurasi Anda dinamai /etc/rsyslog.config. Itu bukan nama yang benar untuk file ini, dan kemungkinan alasan logging Anda kacau. Ubah nama file ini menjadi /etc/rsyslog.confdan kemudian restart layanan logging.

$ sudo service rsyslog restart
slm
sumber
Terima kasih, saya bertanya-tanya, apakah "SyslogFacility AUTHPRIV" dikomentari. Bagaimana sshd tahu apa standarnya? Apakah default disimpan di suatu tempat yang dapat Anda edit?
Jidrick
Defaultnya adalah dalam kode sumber yang digunakan untuk mengkompilasi sshdfile yang dapat dieksekusi. Jika Anda ingin menimpa default, Anda dapat memberikan sshdopsi baris perintah atau mengedit file konfigurasinya.
Mark Plotnick
@MarkPlotnick - ya seperti yang biasanya dilakukan dalam file konfigurasi (seperti yang terlihat di atas) defaultnya ditampilkan dalam file konfigurasi tetapi kemudian diperintahkan keluar. Jadi sshdikompilasi sehingga LogLeveldiatur ke INFOsecara default. Untuk menimpanya, Anda harus menghapus komentar pada baris itu dan kemudian mengubah nilainya.
slm
3

sshdFasilitas default syslog adalah AUTH, jadi itu akan masuk log ke syslog /var/log/messages.

Untuk membuat sshdlog ke file baru, Anda dapat mengubahnya fasilitas syslog ke sesuatu yang lain, kemudian konfigurasi syslog untuk mencatat fasilitas baru ini ke file baru, yaitu:

Di sshd_config, tambahkan baris ini:

SyslogFacility AUTHPRIV

Kemudian di syslog.conf:

authpriv.* /var/log/secure
cuonglm
sumber
@ Jidrick - ada yang salah dengan kotak Anda. Tampaknya hal-hal yang rusak dan hilang.
slm
@ Jidrick: Anda dapat memeriksa rsyslog seperti lainnya?
cuonglm
@Gnouc - SyslogFacility AUTHPRIVsudah menjadi default pada distro RH. Mereka menimpanya sebagai bagian dari kemasan.
slm
@ Gnouc Ya, tetapi mengubah ini sepertinya tidak berhasil.
Jidrick
@ Jidrick - ubah nama file /etc/rsyslog.configmenjadi /etc/rsyslog.conf.
slm