Pertanyaan Bagaimana cara memeriksa log sshd?


Saya telah menginstal Ubuntu 9.10 dengan sshd dan saya berhasil menghubungkannya menggunakan login dan kata sandi. Saya telah mengonfigurasi RSA login kunci dan sekarang memiliki "Server menolak kunci kami" seperti yang diharapkan. Ok, sekarang saya ingin memeriksanya sshd login untuk mencari tahu masalah. Saya telah memeriksa /etc/ssh/sshd_config dan itu ada

SyslogFacility AUTH
LogLevel INFO

Baik. Saya sedang melihat /var/log/auth.log dan ... itu O_O kosong. Berubah Loglevel untuk VERBOSE tidak membantu - auth.log masih kosong. Ada petunjuk bagaimana saya bisa memeriksanya sshd log?


103
2018-04-08 10:22




Apakah Anda memeriksa konfigurasi syslog Anda? Saya tidak menjalankan Ubuntu, tetapi mungkin mengarahkan kembali fasilitas AUTH ke logfile yang berbeda. Mungkin / var / log / messages? - Prof. Moriarty
Bagaimana cara memeriksa konfigurasi syslog? Sayangnya, saya tidak terlalu bagus linux :(. cat /var/log/messages | grep ssh tidak menunjukkan apa-apa :(. - grigoryvp
Anda benar. /etc/syslog.conf mengalihkan AUTH ke /var/logauth.log. Silakan tulis jawaban Anda sehingga saya bisa menerimanya :) - grigoryvp
Di server saya, sshd log ke / var / log / secure. Ini dikonfigurasi di /etc/rsyslog.conf, pada baris awal "authpriv. *" - Isaac Betesh
authpriv ?? Bagaimana seharusnya kita tahu bahwa ada hubungannya dengan sshd? :-) - Spencer Williams


Jawaban:


Jika tidak ada orang lain yang menggunakan sistem saat ini Anda dapat melakukan apa yang telah saya lakukan dalam kasus seperti ini:

  • berhenti layanan sshd (setidaknya saya sudah bisa melakukan ini saat masuk melalui ssh)
  • mulai sshd secara manual dan tambahkan beberapa opsi -d untuk mendapatkan lebih banyak keluaran debug verbose. Kecuali Anda memiliki sesuatu yang funky, itu harus menggunakan kunci yang sama dan konfigurasi yang dilakukan ketika dimulai dengan benar

8
2018-04-08 11:37



Menghentikan SSHD pada server jauh adalah ide yang sangat buruk. Hal ini dapat memecahkan masalah untuk sebagian (atau sebagian besar) pengaturan sebagian besar waktu, tetapi jika APA PUN berjalan dengan salah - koneksi Anda, daya di kedua ujung, kelupaan, dll - Anda terkunci di luar kotak. Itu kabar buruk. - Sudowned
Nah, perlu dicatat bahwa satu-satunya cara Anda dapat memulai layanan setelah menghentikannya secara manual adalah memiliki akses semacam itu, seperti koneksi remote non-SSH lainnya, atau Anda duduk di depannya. - Spencer Williams
Bagaimana ini menjawab pertanyaan? Saya mendarat di sini dari penelusuran web yang mengharapkan untuk mempelajari cara memeriksa file log SSHD, bukan yang bekerja untuk Anda untuk beberapa masalah ... Sialan Saya berharap pembaca di jaringan Stack Exchange akan benar-benar membaca dan menjawab pertanyaan di tangan, dan tidak pertanyaan yang mereka inginkan ... - jww
Anda dapat memulai sshd lain di port lain. Hubungkan ke yang satu itu. Kemudian hentikan sshd utama dan mulai yang baru di port 22. Jika ada yang gagal, reboot kotak menggunakan DRAC atau manajemen cloud Anda. Anda harus memiliki sshd mulai saat boot, kan? Jangan khawatir. - Bruno Bronosky
@JoelESalas Komunitas tidak memutuskan jawaban mana yang diterima. - kasperd


Membuat jawaban berdasarkan komentar di atas, kredit ke @Prof. Moriarty dan @Eye of Hell

Kegagalan autentikasi SSH dicatat di sini /var/log/auth.log

Berikut ini harus memberi Anda hanya baris log terkait ssh

grep 'sshd' /var/log/auth.log

Untuk berada di sisi yang aman, dapatkan beberapa ratus baris terakhir dan kemudian cari (karena jika file log terlalu besar, grep pada seluruh file akan mengkonsumsi lebih banyak sumber daya sistem, belum lagi akan memakan waktu lebih lama untuk dijalankan)

tail -500 /var/log/auth.log | grep 'sshd'


118
2018-02-19 19:56



Jawaban ini. Jawaban lain dengan panah hijau adalah palsu. Ubah panah. - nottinhill
Mengapa tidak digunakan tail -f ... untuk memonitornya secara real time? Apakah ini menjadi masalah dengan file log yang lebih besar? - ingh.am
less +F ... akan 'ekor' secara real time, dan itu jauh lebih kuat daripada ekor - northben
Dan lnav bahkan lebih baik daripada kurang / ekor - Wayne Werner
P.s .: jika server Anda adalah Red Hat (sebagai CentOS), jalur log catatan sshd / login adalah / var / log / secure (folder check / var / log untuk file log dari tanggal tertentu juga). Lihat jawaban ini: serverfault.com/questions/465833/… - Brian Hellekin


Jika Anda dapat mencoba koneksi yang gagal lagi dengan mudah, salah satu cara mudahnya adalah dengan menjalankan:

/usr/sbin/sshd -d -p 2222

lalu coba lagi koneksi dengan:

ssh -p 2222 user@host

Menggunakan -p 2222 sehingga kami tidak perlu menghentikan server SSH utama, yang dapat mengunci Anda.

Lihat juga: https://unix.stackexchange.com/a/55481/32558


3
2017-08-13 07:13





Jika Anda ingin melihat semua pesan log tentang sshd, jalankan ini:

grep -rsh sshd /var/log |sort

-1
2018-06-28 14:24



Log akan mulai dengan entri seperti Mar 14 19:52:04 yang mengecualikan tahun dan tidak mudah diurutkan (meskipun Anda mungkin beruntung dengan sort --month-sort dengan asumsi Anda tidak melewati batas antar tahun). File log itu sendiri sudah diurutkan, jadi Anda hanya perlu memindainya dalam urutan yang benar. Juga, rekursif grep -r panggilan akan sangat lambat pada sistem dengan log besar. Tidak ada alasan untuk melakukan pemindaian tambahan seperti log HTTPD Anda. - Adam Katz


Kamu bisa tail -f /var/log/auth.log


-1
2017-11-10 00:44



Selamat datang di ServerFault. Apakah Anda membaca pertanyaan itu? Dia tidak mendapatkan data di file itu. tailitu tidak berguna jika tidak ada data di dalamnya. - chicks
@chicks Itu lucu. Jawaban dengan suara terbanyak hampir sama seperti ini .. - Qback