/var/log/auth.log no registra intentos fallidos de ssh

10

Intento fallar (nombre de usuario, contraseña o ambos incorrectos) en mi servidor.

Cambié / etc / ssh / sshd_config de

# Logging
SyslogFacility AUTH 
LogLevel INFO

a

# Logging
SyslogFacility AUTH 
LogLevel VERBOSE

y desde entonces he intentado múltiples intentos de ssh con usuarios existentes y no existentes con contraseñas aleatorias, por lo que fallan. Al marcar /var/log/auth.log no aparece nada y está completamente en blanco.

¿Qué me estoy perdiendo? ¿Es necesario instalar y ejecutar algún otro proceso en mi sistema? Estoy ejecutando Ubuntu.

Cualquier ayuda u orientación sobre este asunto es más que bienvenida.

Gracias

ssh logging authentication edev.io
fuente
1
¿Reiniciaste sshd?
bonsaiviking
1
¿Cómo es su configuración de syslog? Esto probablemente sería un archivo en /etc/syslog.confo /etc/rsyslog.confo/etc/rsyslog.d/*.conf
Stefan Lasiewski
@StefanLasiewski los primeros 2 están vacíos y /etc/rsyslog.d/*.confdice "$ AddUnixListenSocket / var / spool / postfix / dev / log"
edev.io
@Georgejnr: Si ese es el caso, parece que la configuración de syslog en su sistema está rota. Normalmente hay un archivo syslog en /etc/syslog.conf o /etc/rsyslog.conf, y normalmente debería haber más de un archivo en /etc/rsyslog.d/*.conf. ¿ ps auxMuestra un proceso de syslog?
Stefan Lasiewski
@StefanLasiewski no, no aparece en ps aux. El administrador del sistema anterior se volvió un poco pícaro y rompió algunas cosas que creo a propósito. ¿Crees que esto podría ser parte de eso? ¿Cómo hago para solucionar este problema?
edev.io

Respuestas:

6

El nivel de registro generalmente (aparentemente dependiente de la aplicación) se refiere a uno de los niveles de gravedad definidos admitidos por el proceso de registro del sistema (syslog). Vuelva a cambiarlo y reinicie el servidor sshd.

Ahora, si no está obteniendo la salida, debe mirar el sistema /etc/syslog.conf y ver qué nivel de registro MÍNIMO se registran las solicitudes de tipo AUTH y en qué archivo. Los errores pueden estar yendo a un archivo de registro diferente. O puede que no esté registrando estos errores debido a la configuración syslog.conf para el servicio AUTH. Para obtener más información, consulte las páginas de manual en y syslog.conf.

mdpc
fuente
Desde sshd_config (5) LogLevel: proporciona el nivel de detalle que se utiliza al registrar mensajes desde sshd (8). Los valores posibles son: SILENCIOSO, FATAL, ERROR, INFORMACIÓN, VERBOSO , DEPURACIÓN, DEPURACIÓN1, DEPURACIÓN2 y DEPURACIÓN3.
bonsaiviking
1
mi /syslog.conf está vacío. Debo agregar que me estoy haciendo cargo del sistema de otra persona y parece que no hicieron un muy buen trabajo al configurarlo. ¿La falta de syslog.conf significa que me falta un servicio? (gracias por su respuesta)
edev.io
El archivo está en /etc...... es posible que no esté registrando nada.
mdpc
Acerca de VERBOSE en sshd_config ... mi error, pero no es un nivel de registro de syslog que se solicita comúnmente en muchos de los programas con los que he tratado.
mdpc
dejando VERBOSE todavía en mi sshd_config y ejecutando sudo /etc/init.d/ssh restart, todavía no se está registrando. ¿Estoy siendo tonto por algo?
edev.io
5

Cuando tuve el mismo problema en Debian, descubrí que tenía que reiniciar rsyslogd:

/etc/init.d/rsyslog restart

(Su programa syslogd puede variar).

Luego comenzó a escribir en /var/log/auth.log nuevamente.

Tal vez había dejado de iniciar sesión después de un evento de disco lleno, no estoy seguro.

Ver también: https://bugs.launchpad.net/ubuntu/+source/rsyslog/+bug/1059854/comments/9

Sam Watkins
fuente
1
Esto funcionó para mí, pero usando systemctl en su lugar para reiniciar el servicio syslog (Debian sid usando inetutils-syslogd). systemctl restart inetutils-syslogd.service
Brian Minton
3

En mi caso, no había espacio en el disco izquierdo en el sistema de archivos raíz /, lo cual puede verificar condf -h

yellowsir
fuente
3

En mi caso, el problema era con la propiedad del /var/log/auth.logarchivo. Fue propiedad de, root:rootpero debe ser syslog:adm. Cambiar con

sudo chown syslog:adm /var/log/auth.log

Parece ser un problema común con los sistemas recién creados: había más archivos de registro que tenían este problema.


fuente