Cambia la posizione del file di registrazione sshd su CentOS?

14

Come posso modificare il sshdpercorso del file di registrazione su CentOS? sshdaccede /var/log/messagesinvece di /var/log/secure. Come posso modificare l'impostazione in modo sshdda interrompere l'invio dei registri /var/log/messages?

centos  logs 
Jidrick
fonte
1
Continui a scrivere /var/log/messageè davvero il luogo? È generalmente /var/log/messages.
slm
1
@slm qui è stato /var/log/messages, forse OP ha sia ;-)
Anthon
Sul mio sistema Ubuntu, il registro ssh è attivo/var/log/auth.log
Eric Wang,

Risposte:

18

Pubblica il tuo sshd_configqualcos'altro sembra essere su. Un sistema CentOS di serie registra sempre /var/log/secure.

Esempio

$ sudo tail -f /var/log/secure
Feb 18 23:23:34 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 18 23:23:36 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2
Feb 18 23:23:42 greeneggs unix_chkpwd[3555]: password check failed for user (root)
Feb 18 23:23:42 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 18 23:23:43 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2
Feb 18 23:23:48 greeneggs sshd[3545]: Accepted password for root from ::1 port 46401 ssh2
Feb 18 23:23:48 greeneggs sshd[3545]: pam_unix(sshd:session): session opened for user root by (uid=0)
Feb 18 23:24:05 greeneggs sshd[3545]: Received disconnect from ::1: 11: disconnected by user
Feb 18 23:24:05 greeneggs sshd[3545]: pam_unix(sshd:session): session closed for user root
Feb 18 23:27:15 greeneggs sudo:     saml : TTY=pts/3 ; PWD=/home/saml ; USER=root ; COMMAND=/bin/tail /var/log/secure

Questo è controllato attraverso /etc/ssh/sshd_config:

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO

Oltre ai contenuti di /etc/rsyslog.conf:

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

Il tuo problema

In uno dei tuoi commenti hai menzionato che il tuo rsyslogdfile di configurazione è stato nominato /etc/rsyslog.config. Questo non è il nome corretto per questo file ed è probabilmente il motivo per cui la tua registrazione è rovinata. Modificare il nome di questo file in /etc/rsyslog.confe quindi riavviare il servizio di registrazione.

$ sudo service rsyslog restart
slm
fonte
Grazie, mi chiedevo se "SyslogFacility AUTHPRIV" è stato commentato. Come fa sshd a sapere quali sono le impostazioni predefinite? Le impostazioni predefinite sono memorizzate in un punto che è possibile modificare?
Jidrick,
I valori predefiniti si trovano nel codice sorgente utilizzato per compilare il sshdfile eseguibile. Se si desidera sovrascrivere i valori predefiniti, è possibile fornire sshdopzioni della riga di comando o modificarne il file di configurazione.
Mark Plotnick,
@MarkPlotnick: sì, come avviene normalmente nei file di configurazione (come visto sopra), le impostazioni predefinite vengono mostrate nel file di configurazione ma vengono poi rimosse. Quindi è sshstato compilato in modo che LogLevelfosse impostato di INFOdefault. Per sovrascriverlo devi decommentare quella linea e quindi cambiarne il valore.
slm
3

L'impostazione predefinita di sshdsyslog è AUTH, quindi verrà registrato in syslog /var/log/messages.

Per fare il sshdlog in un nuovo file, puoi cambiarlo con una funzione syslog in qualcosa di diverso, quindi configurare syslog per registrare questa nuova funzione in un nuovo file, ovvero:

In sshd_config, aggiungi questa riga:

SyslogFacility AUTHPRIV

Quindi in syslog.conf:

authpriv.* /var/log/secure
cuonglm
fonte
@Jidrick - qualcosa non va nella tua scatola. Sembra essere cose rotte e mancanti.
slm
@Jidrick: puoi controllare altri come rsyslog?
cuonglm,
@Gnouc - SyslogFacility AUTHPRIVè già l'impostazione predefinita per le distribuzioni RH. Lo sostituiscono come parte della confezione.
slm
@Gnouc Sì, ma cambiarlo non sembra funzionare.
Jidrick,
@Jidrick - cambia il nome del file /etc/rsyslog.configin /etc/rsyslog.conf.
slm
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.