Bagaimana cara mengubah sshdlokasi file logging di CentOS? sshdlog ke /var/log/messagesbukan /var/log/secure. Bagaimana saya bisa mengubah pengaturan sehingga sshdakan berhenti mengirim log /var/log/messages?
Anda terus menulis /var/log/messageapakah itu benar-benar lokasi? Secara umum /var/log/messages.
slm
1
@slm di sini itu /var/log/messages, mungkin OP telah baik ;-)
Anthon
Di sistem ubuntu saya, ssh log ada di/var/log/auth.log
Eric Wang
Jawaban:
18
Silakan kirim sshd_configsesuatu yang lain sepertinya sudah selesai. Sistem stok CentOS selalu masuk ke /var/log/secure.
Contoh
$ sudo tail -f /var/log/secure
Feb 18 23:23:34 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 18 23:23:36 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2
Feb 18 23:23:42 greeneggs unix_chkpwd[3555]: password check failed for user (root)
Feb 18 23:23:42 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 18 23:23:43 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2
Feb 18 23:23:48 greeneggs sshd[3545]: Accepted password for root from ::1 port 46401 ssh2
Feb 18 23:23:48 greeneggs sshd[3545]: pam_unix(sshd:session): session opened for user root by (uid=0)
Feb 18 23:24:05 greeneggs sshd[3545]: Received disconnect from ::1: 11: disconnected by user
Feb 18 23:24:05 greeneggs sshd[3545]: pam_unix(sshd:session): session closed for user root
Feb 18 23:27:15 greeneggs sudo: saml : TTY=pts/3 ; PWD=/home/saml ; USER=root ; COMMAND=/bin/tail /var/log/secure
Ini dikendalikan melalui /etc/ssh/sshd_config:
# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO
Serta isi dari /etc/rsyslog.conf:
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
Masalah Anda
Dalam salah satu komentar Anda, Anda menyebutkan bahwa rsyslogdfile konfigurasi Anda dinamai /etc/rsyslog.config. Itu bukan nama yang benar untuk file ini, dan kemungkinan alasan logging Anda kacau. Ubah nama file ini menjadi /etc/rsyslog.confdan kemudian restart layanan logging.
Terima kasih, saya bertanya-tanya, apakah "SyslogFacility AUTHPRIV" dikomentari. Bagaimana sshd tahu apa standarnya? Apakah default disimpan di suatu tempat yang dapat Anda edit?
Jidrick
Defaultnya adalah dalam kode sumber yang digunakan untuk mengkompilasi sshdfile yang dapat dieksekusi. Jika Anda ingin menimpa default, Anda dapat memberikan sshdopsi baris perintah atau mengedit file konfigurasinya.
Mark Plotnick
@MarkPlotnick - ya seperti yang biasanya dilakukan dalam file konfigurasi (seperti yang terlihat di atas) defaultnya ditampilkan dalam file konfigurasi tetapi kemudian diperintahkan keluar. Jadi sshdikompilasi sehingga LogLeveldiatur ke INFOsecara default. Untuk menimpanya, Anda harus menghapus komentar pada baris itu dan kemudian mengubah nilainya.
slm
3
sshdFasilitas default syslog adalah AUTH, jadi itu akan masuk log ke syslog /var/log/messages.
Untuk membuat sshdlog ke file baru, Anda dapat mengubahnya fasilitas syslog ke sesuatu yang lain, kemudian konfigurasi syslog untuk mencatat fasilitas baru ini ke file baru, yaitu:
/var/log/messageapakah itu benar-benar lokasi? Secara umum/var/log/messages./var/log/messages, mungkin OP telah baik ;-)/var/log/auth.logJawaban:
Silakan kirim
sshd_configsesuatu yang lain sepertinya sudah selesai. Sistem stok CentOS selalu masuk ke/var/log/secure.Contoh
Ini dikendalikan melalui
/etc/ssh/sshd_config:Serta isi dari
/etc/rsyslog.conf:Masalah Anda
Dalam salah satu komentar Anda, Anda menyebutkan bahwa
rsyslogdfile konfigurasi Anda dinamai/etc/rsyslog.config. Itu bukan nama yang benar untuk file ini, dan kemungkinan alasan logging Anda kacau. Ubah nama file ini menjadi/etc/rsyslog.confdan kemudian restart layanan logging.sumber
sshdfile yang dapat dieksekusi. Jika Anda ingin menimpa default, Anda dapat memberikansshdopsi baris perintah atau mengedit file konfigurasinya.sshdikompilasi sehinggaLogLeveldiatur keINFOsecara default. Untuk menimpanya, Anda harus menghapus komentar pada baris itu dan kemudian mengubah nilainya.sshdFasilitas default syslog adalahAUTH, jadi itu akan masuk log ke syslog/var/log/messages.Untuk membuat
sshdlog ke file baru, Anda dapat mengubahnya fasilitas syslog ke sesuatu yang lain, kemudian konfigurasi syslog untuk mencatat fasilitas baru ini ke file baru, yaitu:Di sshd_config, tambahkan baris ini:
Kemudian di syslog.conf:
sumber
SyslogFacility AUTHPRIVsudah menjadi default pada distro RH. Mereka menimpanya sebagai bagian dari kemasan./etc/rsyslog.configmenjadi/etc/rsyslog.conf.