سؤال كيفية التحقق من سجل sshd؟


لدي Ubuntu 9.10 مثبت مع sshd ويمكنني الاتصال بنجاح باستخدام تسجيل الدخول وكلمة المرور. لقد قمت بتكوين RSA مفتاح الدخول والآن لدينا "خادم رفض مفتاحنا" كما هو متوقع. حسنا ، الآن أريد أن تحقق sshd سجل من أجل معرفة مشكلة. لقد فحصت /etc/ssh/sshd_config ولديها

SyslogFacility AUTH
LogLevel INFO

حسنا. أنا أنظر إلى /var/log/auth.log و ... انها فارغة O_O. متغير Loglevel إلى VERBOSE لا يساعد شيئًا - auth.log لا تزال فارغة. أي تلميحات كيف يمكنني التحقق sshd سجل؟


103
2018-04-08 10:22


الأصل


هل قمت بفحص تكوين سجل النظام الخاص بك؟ لا أقوم بتشغيل Ubuntu ، لكنه قد يعيد توجيه أداة AUTH إلى ملف تسجيل مختلف. ربما / var / log / messages؟ - Prof. Moriarty
كيفية التحقق من تكوين سجل النظام؟ لسوء الحظ ، أنا لست جيد جدا لينكس :(. cat /var/log/messages | grep ssh لا يظهر أي شيء :(. - grigoryvp
انت على حق. /etc/syslog.conf يعيد توجيه AUTH إلى /var/logauth.log. يرجى كتابة إجابتك حتى أتمكن من قبول ذلك :) - grigoryvp
على خوادم بلدي ، سجلات sshd إلى / فار / سجل / آمنة. تم تكوين هذا في /etc/rsyslog.conf ، على السطر بداية "authpriv. *" - Isaac Betesh
authpriv ؟؟ كيف كان من المفترض أن نعرف أن هناك أي علاقة مع sshd؟ :-) - Spencer Williams


الأجوبة:


إذا لم يكن هناك شخص آخر يستخدم النظام في الوقت الحالي ، فيمكنك القيام بما قمت به في مثل هذه الحالات:

  • إيقاف خدمة sshd (على الأقل لقد تمكنت من القيام بذلك أثناء تسجيل الدخول عبر ssh)
  • بدء sshd يدوياً وإضافة بعض -d خيارات للحصول على إخراج التصحيح مطول أكثر. ما لم يكن لديك شيء غير تقليدي يحدث عليه يجب استخدام نفس المفاتيح والتهيئة التي يقوم بها عند بدء التشغيل بشكل صحيح

8
2018-04-08 11:37



إيقاف SSHD على خادم بعيد هو فكرة سيئة حقا. هذا قد يحل المشكلة لبعض (أو معظم) الاعداد في معظم الوقت ، ولكن إذا كان أي شيء غير صحيح - الاتصال الخاص بك ، السلطة على أي من الطرفين ، النسيان ، وما إلى ذلك - أنت مغلق من مربع. ما هو الخبر السيئ. - Sudowned
حسنًا ، تجدر الإشارة إلى أن الطريقة الوحيدة التي يمكنك بها بدء الخدمة بعد إيقافها يدويًا هي الحصول على نوع آخر من الوصول إليها ، مثل اتصال آخر بعيد بخلاف SSH ، أو كنت جالسًا أمامه. - Spencer Williams
كيف يجيب هذا السؤال؟ لقد هبطت هنا من بحث على شبكة الإنترنت أتوقع أن أتعلم كيفية التحقق من ملفات سجل SSHD ، وليس ما نجح بالنسبة لك لبعض المشاكل ... لعنة أتمنى أن القراء في شبكة Stack Exchange يقرؤون ويجيبون على السؤال في متناول اليد ، وليس السؤال الذي يريدونه أن يكون .... - jww
يمكنك بدء sshd آخر على منفذ آخر. تواصل مع هذا الشخص. ثم قم بإيقاف sshd الرئيسي وابدأ واحدة جديدة على المنفذ 22. إذا فشل أي شيء ، أعد تشغيل المربع باستخدام DRAC أو إدارة السحاب. يجب أن يكون لديك SSD البدء في التمهيد الصحيح؟ لا داعى للقلق. - Bruno Bronosky
JoelESalas لا يقرر المجتمع الإجابات المقبولة. - kasperd


إنشاء إجابة استنادًا إلى التعليقات أعلاه ، اعتماد إلىProf. موريارتي و @ آي من الجحيم

يتم تسجيل حالات فشل مصادقة SSH هنا /var/log/auth.log

يجب أن تعطيك التالية فقط خطوط السجل المتعلقة ssh

grep 'sshd' /var/log/auth.log

لكي تكون على الجانب الآمن ، احصل على بضع مئات من الخطوط السابقة ثم ابحث عنها (لأنه إذا كان ملف السجل كبيرًا جدًا ، فإن grep في الملف بأكمله سيستهلك المزيد من موارد النظام ، ناهيك عن أن الأمر سيستغرق وقتًا أطول للتشغيل)

tail -500 /var/log/auth.log | grep 'sshd'


119
2018-02-19 19:56



هذا الجواب. إجابة أخرى مع السهم الأخضر هي وهمية. تغيير السهم. - nottinhill
لماذا لا تستخدم tail -f ... لرصد ذلك في الوقت الحقيقي؟ هل ستكون هذه مشكلة في ملفات السجل الأكبر؟ - ingh.am
less +F ... سوف "ذيل" في الوقت الحقيقي ، وأكثر قوة من الذيل - northben
و lnav أفضل من أقل / ذيل - Wayne Werner
P.s .: إذا كان الخادم الخاص بك هو Red Hat (مثل CentOS) ، فإن مسار سجل سجلات sshd / login هو / var / log / secure (تحقق من / var / log مجلد لملفات السجل الخاصة بتواريخ محددة أيضًا). انظر هذا الجواب: serverfault.com/questions/465833/... - Brian Hellekin


إذا تمكنت من محاولة الاتصال الفاشل مرة أخرى بسهولة ، فإن إحدى الطرق السهلة هي تشغيل:

/usr/sbin/sshd -d -p 2222

ثم أعد محاولة الاتصال بـ:

ssh -p 2222 user@host

عن طريق -p 2222 حتى لا نضطر إلى إيقاف خادم SSH الرئيسي ، والذي قد يحبسك.

أنظر أيضا: https://unix.stackexchange.com/a/55481/32558


4
2017-08-13 07:13





إذا كنت تريد مشاهدة جميع رسائل السجل حول sshd ، فقم بتشغيل هذا:

grep -rsh sshd /var/log |sort

-1
2018-06-28 14:24



ستبدأ السجلات بإدخالات مثل Mar 14 19:52:04 والتي تستبعد السنة ولا يتم فرزها بسهولة (على الرغم من أنك قد تحصل على الحظ sort --month-sort على افتراض أنك لا تتجاوز الحدود بين السنوات). يتم بالفعل فرز ملفات السجل نفسها ، لذلك عليك فقط مسحها في الترتيب الصحيح. أيضا ، متكررة grep -r سيكون الاتصال بطيئًا جدًا على الأنظمة ذات السجلات الكبيرة. ليس هناك سبب لإجراء مسح إضافي لأشياء مثل سجلات HTTPD الخاصة بك. - Adam Katz


يمكنك tail -f /var/log/auth.log


-1
2017-11-10 00:44



مرحبًا بك في ServerFault. هل قرأت السؤال؟ لا يحصل على بيانات في هذا الملف. tailانها غير مجدية إذا لم يكن لديها أي بيانات في ذلك. - chicks
@ هذا أمر مضحك. الإجابة مع معظم الأصوات هي نفسها تقريبا مثل هذا .. - Qback