Sshd लॉग कैसे चेक करें?

124

मेरे पास उबंटू 9.10 स्थापित है sshdऔर मैं लॉगिन और पासवर्ड का उपयोग करके इसे सफलतापूर्वक कनेक्ट कर सकता हूं। मैंने एक RSAमुख्य लॉगिन को कॉन्फ़िगर किया है और अब "सर्वर ने हमारी कुंजी को अस्वीकार कर दिया है" जैसी कि उम्मीद थी। ठीक है, अब मैं sshdएक समस्या का पता लगाने के लिए लॉग की जांच करना चाहता हूं । मैंने जांच की है /etc/ssh/sshd_configऔर यह है

SyslogFacility AUTH
LogLevel INFO

ठीक। मैं देख रहा हूं /var/log/auth.logऔर ... यह खाली O_O है। बदलने Loglevelके लिए VERBOSEकुछ भी नहीं है में मदद करता है - auth.logअभी भी खाली है। कोई संकेत है कि मैं sshdलॉग की जांच कैसे कर सकता हूं ?

ssh

— grigoryvp
स्रोत

7

क्या आपने अपने syslog कॉन्फ़िगरेशन की जांच की? मैं उबंटू नहीं चलाता हूं, लेकिन यह AUTH सुविधा को एक अलग लॉगफ़ाइल में पुनर्निर्देशित कर सकता है। शायद / var / लॉग / संदेश?

— प्रो। मोरियार्टी

कैसे एक syslog विन्यास की जांच करने के लिए? दुर्भाग्य से, मैं एक बहुत अच्छा नहीं हूँ linux :( cat /var/log/messages | grep sshकुछ भी नहीं दिखाता है :(!

— grigoryvp

तुम सही हो। /etc/syslog.confAUTH को पुनर्निर्देशित करता है /var/logauth.log। कृपया अपना उत्तर लिखें ताकि मैं इसे स्वीकार कर

— सकूँ

3

मेरे सर्वर पर, sshd लॉग / var / लॉग / सिक्योर है। यह /etc/rsyslog.conf में कॉन्फ़िगर किया गया है, "ऑस्ट्रिप्राइव। *" की शुरुआत करने वाली लाइन पर

— इसहाक बेतेश

1

authpriv ?? कैसे हेक करने के लिए हमें पता था कि sshd के साथ कुछ करना था? :-)

— स्पेंसर विलियम्स

7

यदि कोई भी इस समय प्रणाली का उपयोग नहीं कर रहा है तो आप कर सकते हैं कि मैंने ऐसे मामलों में क्या किया है:

sshd सेवा बंद करें (कम से कम मैं ssh द्वारा लॉग इन करते समय ऐसा करने में सक्षम रहा)
मैन्युअल रूप से sshd शुरू करें और अधिक-डीबग आउटपुट प्राप्त करने के लिए कुछ -d विकल्प जोड़ें। जब तक आपके पास कुछ कायरता नहीं है, तब तक उसे उसी कुंजियों का उपयोग करना चाहिए और ठीक से शुरू होने पर इसे कॉन्फ़िगर करना चाहिए

— पीटो
स्रोत

142

एक दूरस्थ सर्वर पर SSHD को रोकना वास्तव में एक बुरा विचार है। यह अधिकांश समय कुछ (या अधिकांश) सेटअप के लिए समस्या को हल कर सकता है, लेकिन अगर कुछ भी गलत हो जाता है - आपका कनेक्शन, दोनों छोर पर बिजली, भूलने की बीमारी, आदि - आप बॉक्स से बाहर बंद हैं। जो बुरी खबर है।

— 18

1

ठीक है, यह ध्यान दिया जाना चाहिए कि जिस तरह से आप मैन्युअल रूप से इसे रोकने के बाद सेवा शुरू कर सकते हैं, वह किसी अन्य गैर-एसएसएच दूरस्थ कनेक्शन की तरह, इसके लिए किसी अन्य प्रकार की पहुंच हो सकती है या आप इसके सामने बैठे हैं।

— स्पेंसर विलियम्स

26

यह प्रश्न का उत्तर कैसे देता है? मैं SSHD लॉग फ़ाइलों की जांच करने के बारे में जानने के लिए एक वेब खोज से यहां उतरा, न कि आपके लिए कुछ समस्या के लिए क्या काम किया ... लानत है कि मैं स्टैक एक्सचेंज नेटवर्क पर पाठकों को वास्तव में पढ़ने और हाथ पर सवाल का जवाब देने के लिए चाहता हूं, और नहीं सवाल यह है कि वे चाहते हैं ....

4

आप दूसरे पोर्ट पर दूसरा sshd शुरू कर सकते हैं। उस एक से कनेक्ट करें। फिर मुख्य sshd को बंद करें और पोर्ट 22 पर एक नया शुरू करें। यदि कुछ भी विफल हो जाता है, तो अपने DRAC या क्लाउड प्रबंधन का उपयोग करके बॉक्स को रिबूट करें। आपको बूट सही पर शुरू करना चाहिए? कोई चिंता नहीं।

— ब्रूनो ब्रोंस्की

1

@JoelESalas समुदाय तय नहीं करता है कि कौन से उत्तर स्वीकार किए जाते हैं।

— kasperd

155

उपरोक्त टिप्पणियों के आधार पर एक उत्तर बनाना, @Prof को श्रेय देना। मोरियार्टी और @ इये ऑफ़ हेल

यहां SSH की विफलताओं को लॉग किया गया है /var/log/auth.log

निम्नलिखित आपको केवल ssh संबंधित लॉग लाइनें देनी चाहिए

grep 'sshd' /var/log/auth.log

सुरक्षित पक्ष पर होने के लिए, अंतिम कुछ सौ लाइनें प्राप्त करें और फिर खोजें (क्योंकि यदि लॉग फ़ाइल बहुत बड़ी है, तो पूरी फ़ाइल पर grep अधिक सिस्टम संसाधनों का उपभोग करेगा, उल्लेख करने में अधिक समय नहीं लगेगा)

tail -500 /var/log/auth.log | grep 'sshd'

— राम
स्रोत

8

यह उत्तर। हरे तीर के साथ अन्य उत्तर फर्जी है। तीर बदलें।

— 23 अक्टूबर को मेष

5

tail -f ...वास्तविक समय में इसकी निगरानी के लिए उपयोग क्यों नहीं किया जाता है? यह बड़ी लॉग फ़ाइलों के साथ एक समस्या होगी?

— इंध

6

less +F ...वास्तविक समय में 'पूंछ' करेगा, और यह पूंछ की तुलना में बहुत अधिक शक्तिशाली है

— उत्तरबेन

5

और lnavकम / पूंछ से भी बेहतर है

— वेन वर्नर

7

Ps: यदि आपका सर्वर Red Hat (CentOS के रूप में) है, sshd / लॉगिन रिकॉर्ड्स लॉग का पथ / var / log / सिक्योर है (विशिष्ट तिथियों की लॉग फ़ाइलों के लिए भी चेक / var / log फ़ोल्डर)। इस उत्तर को देखें: serverfault.com/questions/465833/…

— ब्रायन हेल्लेकिन

14

यदि आप असफल कनेक्शन को फिर से आसानी से आज़मा सकते हैं, तो एक आसान तरीका आसान है:

/usr/sbin/sshd -d -p 2222

और फिर कनेक्शन के साथ पुनः प्रयास करें:

ssh -p 2222 user@host

इसका उपयोग करके -p 2222हमें मुख्य SSH सर्वर को रोकना नहीं है, जो आपको लॉक कर सकता है।

इसे भी देखें: https://unix.stackexchange.com/a/55481/32558

— सिरो सेंटिल्ली 新疆改造新疆新疆新疆新疆
स्रोत

1

यदि आप sshd के बारे में सभी लॉग संदेश देखना चाहते हैं, तो इसे चलाएं:

grep -rsh sshd /var/log |sort

— अतिथि
स्रोत

2

लॉग प्रविष्टियों के साथ शुरू होंगे जैसे Mar 14 19:52:04कि वर्ष को छोड़कर और आसानी से हल नहीं किए जाते हैं (हालांकि आप sort --month-sortयह मानते हुए भाग्यशाली हो सकते हैं कि आप वर्षों के बीच एक सीमा से अधिक नहीं जाते हैं)। लॉग फ़ाइलों को पहले से ही सॉर्ट किया गया है, इसलिए आपको बस उन्हें सही क्रम में स्कैन करना होगा। इसके अलावा, पुनरावर्ती grep -rकॉल बड़े लॉग के साथ सिस्टम पर वास्तव में धीमा होगा। इसके अतिरिक्त आपके HTTPD लॉग जैसी चीजों को स्कैन करने का कोई कारण नहीं है।

— एडम काट्ज

1

आप ऐसा कर सकते हैं tail -f /var/log/auth.log

— आदित्य मित्तल
स्रोत

1

ServerFault में आपका स्वागत है। क्या आपने प्रश्न पढ़ा है? उसे उस फ़ाइल में डेटा नहीं मिल रहा है। tailअगर इसमें कोई डेटा नहीं है तो इसे बेकार करें।

— चूजों

@ हिचकी मजेदार है। अधिकांश मतों का उत्तर लगभग एक जैसा ही होता है ..

— Qback