Question Comment vérifier le journal sshd?


J'ai Ubuntu 9.10 installé avec sshd et je peux me connecter avec succès en utilisant le login et le mot de passe. J'ai configuré un RSA clé de connexion et maintenant "Server a refusé notre clé" comme prévu. Ok, maintenant je veux vérifier sshd connectez-vous afin de résoudre un problème. J'ai examiné /etc/ssh/sshd_config et il a

SyslogFacility AUTH
LogLevel INFO

D'accord. Je regarde /var/log/auth.log et ... c'est vide O_O. En changeant Loglevel à VERBOSE ne sert à rien - auth.log est toujours vide. Des astuces pour vérifier sshd bûche?


103
2018-04-08 10:22


origine


Avez-vous vérifié votre configuration syslog? Je n'exécute pas Ubuntu, mais il se peut que le programme AUTH soit redirigé vers un autre fichier journal. Peut-être que / var / log / messages? - Prof. Moriarty
Comment vérifier une configuration syslog? Malheureusement, je ne suis pas très bon sous Linux :(. cat /var/log/messages | grep ssh ne montre rien :(. - grigoryvp
Vous avez raison. /etc/syslog.conf redirige AUTH vers /var/logauth.log. S'il vous plaît écrivez votre réponse afin que je puisse l'accepter :) - grigoryvp
Sur mes serveurs, sshd enregistre dans / var / log / secure. Ceci est configuré dans /etc/rsyslog.conf, sur la ligne commençant par "authpriv. *" - Isaac Betesh
authpriv ?? Comment diable pouvions-nous savoir que cela avait quelque chose à voir avec sshd? :-) - Spencer Williams


Réponses:


Si personne d'autre n'utilise le système pour le moment, vous pouvez faire ce que j'ai fait dans de tels cas:

  • arrêtez le service sshd (au moins, j'ai pu le faire en étant connecté via ssh)
  • démarrez sshd manuellement et ajoutez des options -d pour obtenir une sortie de débogage plus détaillée. Sauf si vous avez quelque chose de funky, il devrait utiliser les mêmes touches et le configurer quand il est démarré correctement

8
2018-04-08 11:37



Arrêter SSHD sur un serveur distant est une très mauvaise idée. Cela peut résoudre le problème pour certaines (ou la plupart) des configurations la plupart du temps, mais en cas de problème, comme votre connexion, la mise sous tension, l’oubli, etc., vous êtes pris au dépourvu. Ce qui est une mauvaise nouvelle - Sudowned
Il convient de noter que la seule façon de démarrer le service après l’arrêter manuellement serait d’y avoir un autre type d’accès, comme une autre connexion distante non-SSH, ou d’être assis devant. - Spencer Williams
Comment cela répond-il à la question? J'ai atterri ici à partir d'une recherche sur le Web espérant apprendre à vérifier les fichiers journaux SSHD, et non ce qui a fonctionné pour vous pour un problème donné… Bon sang, j'aimerais que les lecteurs du réseau Stack Exchange lisent et répondent à la question en question, et non la question qu'ils veulent que ce soit ... - jww
Vous pouvez démarrer un autre sshd sur un autre port. Connectez-vous à celui-là. Arrêtez ensuite le fichier sshd principal et démarrez-en un nouveau sur le port 22. En cas d’échec, redémarrez la boîte à l’aide de votre DRAC ou de la gestion en nuage. Vous devriez avoir sshd démarrant au démarrage non? Pas de soucis. - Bruno Bronosky
@JoelESalas La communauté ne décide pas quelles réponses sont acceptées. - kasperd


En créant une réponse sur la base des commentaires ci-dessus, créditez @Prof. Moriarty et l'Eye of Hell

Les échecs d'authentification SSH sont enregistrés ici /var/log/auth.log

Ce qui suit ne devrait vous donner que les lignes de journal liées à ssh

grep 'sshd' /var/log/auth.log

Pour plus de sécurité, récupérez les quelques centaines de dernières lignes, puis effectuez une recherche (car si le fichier journal est trop volumineux, grep consomme plus de ressources système, sans compter que son exécution prendra plus de temps).

tail -500 /var/log/auth.log | grep 'sshd'


118
2018-02-19 19:56



Cette réponse. L'autre réponse avec la flèche verte est fausse. Changer de flèche. - nottinhill
Pourquoi ne pas utiliser tail -f ... le surveiller en temps réel? Serait-ce un problème avec des fichiers journaux plus volumineux? - ingh.am
less +F ... va 'queue' en temps réel, et il est beaucoup plus puissant que la queue - northben
Et lnav est encore mieux que moins / queue - Wayne Werner
P.s .: si votre serveur est un serveur Red Hat (comme CentOS), le chemin du journal des enregistrements sshd / login est / var / log / secure (recherchez également dans le dossier / var / log les fichiers journaux de dates spécifiques). Voir cette réponse: serverfault.com/questions/465833/… - Brian Hellekin


Si vous pouvez réessayer facilement la connexion défaillante, un moyen simple consiste à exécuter:

/usr/sbin/sshd -d -p 2222

puis réessayez la connexion avec:

ssh -p 2222 user@host

En utilisant -p 2222 de sorte que nous n’ayons pas à arrêter le serveur SSH principal, ce qui pourrait vous bloquer.

Voir également: https://unix.stackexchange.com/a/55481/32558


3
2017-08-13 07:13





Si vous voulez voir tous les messages du journal concernant sshd, lancez ceci:

grep -rsh sshd /var/log |sort

-1
2018-06-28 14:24



Les journaux commenceront par des entrées comme Mar 14 19:52:04 qui excluent l’année et ne sont pas facilement triés (même si vous pouvez avoir de la chance avec sort --month-sort en supposant que vous ne dépassez pas une limite entre années). Les fichiers journaux eux-mêmes sont déjà triés, il vous suffit donc de les analyser dans le bon ordre. Aussi, le récursif grep -r L'appel sera très lent sur les systèmes avec des journaux volumineux. Il n'y a aucune raison d'analyser en outre des éléments tels que vos journaux HTTPD. - Adam Katz


Vous pouvez tail -f /var/log/auth.log


-1
2017-11-10 00:44



Bienvenue sur ServerFault. Avez-vous lu la question? Il ne reçoit pas de données dans ce fichier. tailinutile si elle ne contient aucune donnée. - chicks
@chicks C'est drôle. Répondre avec le plus de votes est presque le même comme ça .. - Qback