שאלה כיצד לבדוק sshd יומן?


יש לי אובונטו 9.10 מותקן עם sshd ואני מצליח להתחבר אליו באמצעות התחברות וסיסמה. יש לי מוגדר RSA כניסה מפתח ועכשיו יש "שרת סירב המפתח שלנו" כצפוי. בסדר, עכשיו אני רוצה לבדוק sshd התחבר כדי להבין בעיה. בחנתי /etc/ssh/sshd_config וזה היה

SyslogFacility AUTH
LogLevel INFO

בסדר. אני מסתכל על /var/log/auth.log ו ... זה ריק O_O. משתנה Loglevel ל VERBOSE לא עוזר כלום - auth.log הוא עדיין ריק. כל רמז איך אני יכול לבדוק sshd יומן?


103
2018-04-08 10:22




האם בדקת את תצורת המערכת שלך? אני לא מפעיל את אובונטו, אבל זה יכול להפנות את מתקן AUTH ל ​​logfile אחרת. אולי / var / log / הודעות? - Prof. Moriarty
כיצד לבדוק תצורת syslog? למרבה הצער, אני לא ממש טוב לינוקס :(. cat /var/log/messages | grep ssh מראה כלום דבר (. - grigoryvp
אתה צודק. /etc/syslog.conf מנתב מחדש את AUTH ל /var/logauth.log. אנא כתוב את התשובה שלך אז אני יכול לקבל את זה :) - grigoryvp
בשרתים שלי, sshd יומני ל / var / log / מאובטח. זה מוגדר ב /etc /rsyslog.conf, על השורה המתחילה "authpriv. *" - Isaac Betesh
authpriv ?? איך לעזאזל היינו אמורים לדעת שיש לזה קשר כלשהו עם sshd? Youנות - Spencer Williams


תשובות:


אם אף אחד אחר לא משתמש במערכת כרגע אתה יכול לעשות מה שעשיתי במקרים כאלה:

  • להפסיק את השירות sshd (לפחות אני כבר מסוגל לעשות את זה תוך כדי כניסה דרך ssh)
  • להתחיל sshd באופן ידני ולהוסיף כמה אפשרויות כדי לקבל יותר debbose debug פלט. אלא אם כן יש לך משהו funky הולך על זה צריך להשתמש באותם מפתחות config זה עושה כאשר התחיל כראוי

8
2018-04-08 11:37



עצירת SSHD בשרת מרוחק הוא רעיון רע מאוד. זה עשוי לפתור את הבעיה עבור חלק (או רוב) setups רוב הזמן, אבל אם כל דבר משתבש - החיבור שלך, כוח על קצה אחד, שכחה, ​​וכו '- אתה נעול מחוץ לקופסה. וזה חדשות רעות. - Sudowned
ובכן, יש לציין כי הדרך היחידה שבה אתה יכול להתחיל את השירות לאחר להפסיק את זה באופן ידני יהיה לקבל סוג אחר של גישה אליו, כמו אחרת SSH חיבור מרחוק, או שאתה יושב מול זה. - Spencer Williams
איך זה עונה על השאלה? אני נחת כאן מתוך חיפוש באינטרנט מצפה ללמוד כיצד לבדוק את קבצי היומן SSHD, לא מה עבד בשבילך עבור בעיה כלשהי ... לעזאזל אני רוצה הקוראים על רשת מחסנית שערי באמת לקרוא ולענות על השאלה בהישג יד, ולא את השאלה שהם רוצים שזה יהיה .... - jww
אתה יכול להתחיל עוד sshd על יציאה אחרת. התחבר לזה. ואז לעצור את sshd הראשי ולהתחיל אחד חדש על יציאה 22. אם משהו נכשל, לאתחל את התיבה באמצעות DRAC או ניהול ענן. אתה צריך sshd מתחיל על אתחול הנכון? אין דאגות. - Bruno Bronosky
@ JoelESalas הקהילה אינה מחליטה אילו תשובות מתקבלות. - kasperd


יצירת תשובה על סמך ההערות לעיל, אשראי ל- @Prof. Moriarty ו @Eye של גיהנום

כשלים של SSH Auth רשומים כאן /var/log/auth.log

להלן אמור לתת לך רק ssh שורות יומן קשורים

grep 'sshd' /var/log/auth.log

כדי להיות בצד הבטוח, לקבל את כמה מאות השורות האחרונות ולאחר מכן לחפש (כי אם קובץ יומן גדול מדי, Grep על הקובץ כולו יצרוך משאבי מערכת יותר, שלא לדבר ייקח יותר זמן לרוץ)

tail -500 /var/log/auth.log | grep 'sshd'


119
2018-02-19 19:56



תשובה זו. תשובה אחרת עם החץ הירוק הוא מזויף. שינוי חץ. - nottinhill
למה לא להשתמש tail -f ... כדי לפקח על זה בזמן אמת? האם זה יהיה בעיה עם קבצי יומן גדול? - ingh.am
less +F ... יהיה 'זנב' בזמן אמת, וזה הרבה יותר חזק מאשר זנב - northben
ו lnav הוא אפילו טוב יותר מאשר פחות / זנב - Wayne Werner
P.s .: אם השרת שלך הוא Red Hat (כמו CentOS), הנתיב של sshd / יומן רשומות יומן הוא / var / יומן / מאובטח (לבדוק / ​​var / יומן תיקיית קבצי יומן של תאריכים ספציפיים מדי). ראה תשובה זו: serverfault.com/questions/465833/... - Brian Hellekin


אם אתה יכול לנסות את החיבור הכושל שוב בקלות, דרך אחת קלה היא לרוץ:

/usr/sbin/sshd -d -p 2222

ולאחר מכן נסה שוב את החיבור עם:

ssh -p 2222 user@host

שימוש -p 2222 כך שאנחנו לא צריכים לעצור את השרת הראשי SSH, אשר יכול לנעול אותך.

ראה גם: https://unix.stackexchange.com/a/55481/32558


4
2017-08-13 07:13





אם אתה רוצה לראות את כל הודעות היומן על sshd, הפעל את זה:

grep -rsh sshd /var/log |sort

-1
2018-06-28 14:24



יומני יתחילו עם ערכים כמו Mar 14 19:52:04 אשר שוללים את השנה ולא ניתן למיין בקלות (אם כי אתה עלול לקבל מזל עם sort --month-sort בהנחה שאתה לא הולך על הגבול בין שנים). קבצי היומן עצמם כבר ממוינים, אז אתה רק צריך לסרוק אותם בסדר הנכון. כמו כן, רקורסיבית grep -r השיחה תהיה איטית מאוד על מערכות עם יומני גדול. אין סיבה לסרוק גם דברים כמו יומני HTTPD שלך. - Adam Katz


אתה יכול tail -f /var/log/auth.log


-1
2017-11-10 00:44



ברוכים הבאים ל - ServerFault. קראת את השאלה? הוא לא מקבל נתונים בקובץ הזה. tailing it חסר תועלת אם אין בו נתונים. - chicks
@chicks זה מצחיק. תשובה עם רוב הקולות הוא כמעט זהה. - Qback