Frage Wie überprüfe sshd Protokoll?


Ich habe Ubuntu 9.10 mit installiert sshd und ich kann mich erfolgreich verbinden mit Login und Passwort. Ich habe ein konfiguriert RSA Key-Login und jetzt haben "Server verweigert unseren Schlüssel" wie erwartet. Ok, jetzt möchte ich überprüfen sshd Loggen Sie sich ein, um ein Problem zu finden. Ich habe es untersucht /etc/ssh/sshd_config und es hat

SyslogFacility AUTH
LogLevel INFO

OK. Ich schaue auf /var/log/auth.log und ... es ist leer O_O. Ändern Loglevel zu VERBOSE hilft nichts - auth.log ist noch leer. Irgendwelche Hinweise, wie ich überprüfen kann sshd Log?


103
2018-04-08 10:22


Ursprung


Hast du deine Syslog-Konfiguration überprüft? Ich benutze Ubuntu nicht, aber es kann die AUTH-Einrichtung zu einer anderen Logdatei umleiten. Vielleicht / var / log / Nachrichten? - Prof. Moriarty
Wie überprüft man eine Syslog-Konfiguration? Leider bin ich nicht sehr gut ein linux :(. cat /var/log/messages | grep ssh zeigt nichts :(. - grigoryvp
Du hast Recht. /etc/syslog.conf leitet AUTH zu /var/logauth.log. Bitte schreibe deine Antwort, damit ich sie annehmen kann :) - grigoryvp
Auf meinen Servern loggt sshd nach / var / log / secure. Dies wird in /etc/rsyslog.conf in der Zeile konfiguriert, die mit "authpriv. *" Beginnt - Isaac Betesh
authpriv ?? Wie zum Teufel sollten wir wissen, dass das etwas mit Sshd zu tun hatte? :-) - Spencer Williams


Antworten:


Wenn niemand sonst das System im Moment benutzt, könntest du tun, was ich in solchen Fällen getan habe:

  • stop sshd service (zumindest konnte ich dies tun, während ich über ssh angemeldet bin)
  • Starten Sie sshd manuell und fügen Sie einige -d-Optionen hinzu, um ausführlichere Debug-Ausgaben zu erhalten. Es sei denn, Sie haben etwas funky, sollte es die gleichen Tasten verwenden und konfigurieren, wenn es richtig gestartet wird

8
2018-04-08 11:37



Stoppen SSHD auf einem Remote-Server ist eine wirklich schlechte Idee. Dies kann das Problem für einige (oder die meisten) Setups die meiste Zeit lösen, aber wenn etwas schief geht - Ihre Verbindung, Strom an beiden Enden, Vergesslichkeit, etc. - sind Sie aus der Schachtel ausgesperrt. Was schlechte Nachrichten sind. - Sudowned
Nun, es sollte angemerkt werden, dass die einzige Möglichkeit, den Dienst nach dem manuellen Stoppen zu starten, darin bestehen könnte, eine andere Art von Zugriff darauf zu haben, wie eine andere Nicht-SSH-Fernverbindung, oder Sie sitzen davor. - Spencer Williams
Wie beantwortet das die Frage? Ich bin hier von einer Web-Suche gelandet und habe erwartet, dass ich lerne, wie man die SSHD-Log-Dateien überprüft, nicht, was für Sie funktionierte ... Verdammt, ich wünschte, die Leser im Stack Exchange-Netzwerk würden die Frage tatsächlich lesen und beantworten und nicht die Frage, die sie wollen ... - jww
Sie können einen anderen sshd an einem anderen Port starten. Verbinde dich mit diesem. Stoppen Sie dann das Haupt-sshd und starten Sie ein neues an Port 22. Wenn etwas fehlschlägt, starten Sie das Feld mit Ihrer DRAC- oder Cloud-Verwaltung neu. Du solltest sshd beim booten starten, oder? Keine Bange. - Bruno Bronosky
@JoelESalas Die Community entscheidet nicht, welche Antworten akzeptiert werden. - kasperd


Erstellen Sie eine Antwort basierend auf den obigen Kommentaren, @Prof. Moriarty und @Eye of Hell

SSH-Auth-Fehler werden hier protokolliert /var/log/auth.log

Folgendes sollte Ihnen nur ssh-bezogene Protokollzeilen geben

grep 'sshd' /var/log/auth.log

Um auf der sicheren Seite zu sein, holen Sie sich die letzten paar hundert Zeilen und suchen Sie dann (denn wenn die Protokolldatei zu groß ist, würde Grep für die gesamte Datei mehr Systemressourcen verbrauchen, ganz zu schweigen davon, dass die Ausführung länger dauert)

tail -500 /var/log/auth.log | grep 'sshd'


118
2018-02-19 19:56



Diese Antwort. Andere Antwort mit grünem Pfeil ist falsch. Pfeil ändern - nottinhill
Warum nicht benutzen? tail -f ... um es in Echtzeit zu überwachen? Wäre dies ein Problem mit größeren Protokolldateien? - ingh.am
less +F ... wird in Echtzeit "Schwanz", und es ist viel mächtiger als Schwanz - northben
Und lnav ist sogar besser als weniger / Schwanz - Wayne Werner
P .: Wenn Ihr Server ein Red Hat (als CentOS) ist, ist der Pfad von sshd / login records log / var / log / secure (check / var / log Ordner für die Log-Dateien bestimmter Daten). Siehe diese Antwort: serverfault.com/questions/465833/ ... - Brian Hellekin


Wenn Sie die fehlerhafte Verbindung noch einmal problemlos versuchen können, gibt es folgende einfache Möglichkeit:

/usr/sbin/sshd -d -p 2222

und dann die Verbindung erneut versuchen mit:

ssh -p 2222 user@host

Verwenden -p 2222 damit wir nicht den Haupt-SSH-Server stoppen müssen, der Sie aussperren könnte.

Siehe auch: https://unix.stackexchange.com/a/55481/32558


3
2017-08-13 07:13





Wenn Sie alle Protokollnachrichten zu sshd sehen möchten, führen Sie Folgendes aus:

grep -rsh sshd /var/log |sort

-1
2018-06-28 14:24



Protokolle beginnen mit Einträgen wie Mar 14 19:52:04 die das Jahr ausschließen und nicht leicht zu sortieren sind (obwohl Sie vielleicht Glück haben mit sort --month-sort vorausgesetzt, Sie gehen nicht über eine Grenze zwischen Jahren). Die Protokolldateien selbst sind bereits sortiert, Sie müssen sie also nur in der richtigen Reihenfolge scannen. Auch das rekursive grep -r Bei Systemen mit großen Protokollen ist der Aufruf sehr langsam. Es gibt keinen Grund, Dinge wie Ihre HTTPD-Protokolle zusätzlich zu scannen. - Adam Katz


Sie können tail -f /var/log/auth.log


-1
2017-11-10 00:44



Willkommen bei ServerFault. Hast du die Frage gelesen? Er erhält keine Daten in dieser Datei. tailEs ist nutzlos, wenn es keine Daten enthält. - chicks
@chicks Das ist lustig. Antwort mit den meisten Stimmen ist fast die gleiche wie diese .. - Qback