¿Cambiar la ubicación del archivo de registro sshd en CentOS?

Por favor, publique su sshd_configotra cosa parece estar arriba. Un sistema CentOS estándar siempre se registra /var/log/secure.

Ejemplo

$ sudo tail -f /var/log/secure
Feb 18 23:23:34 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 18 23:23:36 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2
Feb 18 23:23:42 greeneggs unix_chkpwd[3555]: password check failed for user (root)
Feb 18 23:23:42 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 18 23:23:43 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2
Feb 18 23:23:48 greeneggs sshd[3545]: Accepted password for root from ::1 port 46401 ssh2
Feb 18 23:23:48 greeneggs sshd[3545]: pam_unix(sshd:session): session opened for user root by (uid=0)
Feb 18 23:24:05 greeneggs sshd[3545]: Received disconnect from ::1: 11: disconnected by user
Feb 18 23:24:05 greeneggs sshd[3545]: pam_unix(sshd:session): session closed for user root
Feb 18 23:27:15 greeneggs sudo:     saml : TTY=pts/3 ; PWD=/home/saml ; USER=root ; COMMAND=/bin/tail /var/log/secure

Esto se controla a través de /etc/ssh/sshd_config:

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO

Así como los contenidos de /etc/rsyslog.conf:

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

Tu problema

En uno de sus comentarios mencionó que su rsyslogdarchivo de configuración fue nombrado /etc/rsyslog.config. Ese no es el nombre correcto para este archivo, y es probable que sea la razón por la cual su registro está mal. Cambie el nombre de este archivo a /etc/rsyslog.confy luego reinicie el servicio de registro.

$ sudo service rsyslog restart

slm
fuente

Gracias, me preguntaba, si "SyslogFacility AUTHPRIV" está comentado. ¿Cómo sabe sshd cuáles son los valores predeterminados? ¿Están los valores predeterminados almacenados en algún lugar que pueda editar?

Jidrick

Los valores predeterminados están en el código fuente que se utilizó para compilar el sshdarchivo ejecutable. Si desea anular los valores predeterminados, puede dar sshdopciones de línea de comandos o editar su archivo de configuración.

Mark Plotnick

@ MarkPlotnick: sí, como normalmente se hace en los archivos de configuración (como se ve arriba), los valores predeterminados se muestran en el archivo de configuración, pero luego se comentan. Así sshfue compilado por lo que LogLevelse estableció en INFOforma predeterminada. Para anularlo, debe descomentar esa línea y luego cambiar su valor.

slm

La función predeterminada de sshdsyslog es AUTH, por lo que se registrará en syslog en /var/log/messages.

Para hacer el sshdregistro en un nuevo archivo, puede cambiar su función syslog a otra, luego configurar syslog para registrar esta nueva instalación en un nuevo archivo, es decir:

En sshd_config, agregue esta línea:

SyslogFacility AUTHPRIV

Luego en syslog.conf:

authpriv.* /var/log/secure

Cuonglm
fuente

@Jidrick: algo está muy mal con tu caja. Parece estar roto y faltan cosas.

slm

@Jidrick: ¿puedes buscar otros como rsyslog?

Cuonglm

@Gnouc: SyslogFacility AUTHPRIVya es el valor predeterminado en las distribuciones de RH. Lo anulan como parte del embalaje.

slm

@Gnouc Sí, pero cambiar esto no parece funcionar.

Jidrick

@Jidrick: cambie el nombre del archivo /etc/rsyslog.configa /etc/rsyslog.conf.

slm

¿Cambiar la ubicación del archivo de registro sshd en CentOS?

Respuestas:

Ejemplo

Tu problema