Sshd log nasıl kontrol edilir?

124

Ubuntu 9.10 yüklü sshdve giriş ve şifre ile başarıyla bağlanabiliyorum. Bir RSAanahtar girişi yapılandırdım ve şimdi beklendiği gibi "Sunucu bizim anahtarımızı reddetti". Tamam, şimdi sshdbir sorunu çözmek için günlüğü kontrol etmek istiyorum . İnceledim /etc/ssh/sshd_configve

SyslogFacility AUTH
LogLevel INFO

Tamam. Bakıyorum /var/log/auth.logve ... boş O_O. Hiçbir şeye yardım etmeyecek Loglevelşekilde değiştirme VERBOSE- auth.loghala boş. Herhangi bir ipucunu nasıl kontrol edebilirim sshd?

ssh

— grigoryvp
kaynak

7

Sistem günlüğü yapılandırmanızı kontrol ettiniz mi? Ubuntu'yu çalıştırmıyorum, ancak bu AUTH özelliğini farklı bir günlük dosyasına yönlendirebilir. Belki / var / log / messages?

— Prof. Moriarty

Bir syslog yapılandırması nasıl kontrol edilir? Ne yazık ki, ben çok iyi bir linux değil :(. cat /var/log/messages | grep sshHiçbir şey göstermiyor :(.

— grigoryvp

Haklısın. /etc/syslog.confAUTH konumuna yönlendirir /var/logauth.log. Lütfen cevabınızı yazıp kabul etmeme izin verin :)

— grigoryvp

3

Sunucularımda sshd, / var / log / secure olarak oturum açar. Bu, /etc/rsyslog.conf dosyasında, "authpriv. *" İle başlayan satırda yapılandırılır

— Isaac Betesh

1

authpriv ?? Bunun sshd ile bir ilgisi olduğunu nasıl bilebilirdik? :-)

— Spencer Williams

7

Şu anda sistemi başka kimse kullanmıyorsa, böyle durumlarda yaptığım şeyi yapabilirsiniz:

sshd servisini durdur (en azından ssh ile giriş yaparken bunu yapabildim)
elle sshd'yi başlatın ve daha ayrıntılı hata ayıklama çıktısı almak için bazı -d seçenekleri ekleyin. Devam eden korkak bir şeyiniz yoksa, aynı anahtarları kullanmalı ve düzgün başlatıldığında yapılandırmalıdır.

— Peto
kaynak

143

Uzak bir sunucuda SSHD'yi durdurmak gerçekten kötü bir fikir. Bu, çoğu (veya çoğu) kurulum için çoğu zaman sorunu çözebilir, ancak herhangi bir şey yanlış giderse - bağlantınız, her iki taraftaki güç, unutkanlık, vb. - kutunun dışında kalmışsınızdır. Bu kötü bir haber.

— Saat

1

Eh, elle durdurduktan sonra servisi başlatmanın tek yolunun, başka bir SSH dışı uzaktan bağlantı gibi, başka bir erişime sahip olmak ya da önünde oturmak olacağı belirtilmelidir.

— Spencer Williams

26

Bu soruya nasıl cevap veriyor? SSHD log dosyalarının nasıl kontrol edileceğini öğrenmeyi umarak, bir problem için sizin için ne işe yaramayacağını öğrenmek için buraya bir web araması yaptım ... Kahretsin, Stack Exchange ağındaki okuyucuların aslında soruyu okuyup cevaplamalarını diliyorum sormak istedikleri soru ....

4

Başka bir portta başka bir sshd başlatabilirsiniz. Buna bağlan. Ardından ana sshd'yi durdurun ve 22 numaralı bağlantı noktasında yeni bir tane başlatın. Herhangi bir şey başarısız olursa, DRAC veya bulut yönetiminizi kullanarak kutuyu yeniden başlatın. Önyükleme başından sshd yapmalısınız değil mi? Telaşa gerek yok.

— Bruno Bronosky

1

@JoelESalas Topluluk hangi cevapların kabul edileceğine karar vermez.

— kasperd

155

Yukarıdaki yorumlara dayanarak bir cevap oluşturma, @Prof. Moriarty ve Cehennemin Gözü

SSH auth arızaları burada günlüğe kaydedilir /var/log/auth.log

Aşağıdaki sadece ssh ile ilişkili log satırlarını vermelidir

grep 'sshd' /var/log/auth.log

Güvenli tarafta olmak için, son birkaç yüz çizgiyi alın ve ardından arama yapın (çünkü günlük dosyası çok büyükse, tüm dosyadaki grep daha fazla sistem kaynağı tüketir, bahsetmek yerine daha uzun sürebilir)

tail -500 /var/log/auth.log | grep 'sshd'

— Veri deposu
kaynak

8

Bu cevap Yeşil oklu diğer cevap sahtedir. Ok değiştir.

— kafesler

5

Neden tail -f ...gerçek zamanlı olarak izlemek için kullanmıyorsunuz ? Bu daha büyük günlük dosyalarında bir sorun olur mu?

— ingh.am

6

less +F ...gerçek zamanlı olarak 'kuyruk' olacak ve kuyruktan çok daha güçlü

— northben

5

Ve lnavdaha az / kuyruktan bile daha iyidir

— Wayne Werner

7

Not: Eğer sunucunuz bir Red Hat ise (CentOS olarak), sshd / login kayıt günlüğünün yolu / var / log / secure (belirli tarihlerin log dosyaları için de / var / log klasörü). Bu cevaba bakınız: serverfault.com/questions/465833/…

— Brian Hellekin

14

Arızalı bağlantıyı kolayca tekrar deneyebiliyorsanız, kolay yollardan biri de çalıştırmaktır:

/usr/sbin/sshd -d -p 2222

ve bağlantıyı tekrar dene:

ssh -p 2222 user@host

Kullanılması -p 2222sizi buradan kilit olabilecek şekilde, ana SSH sunucusunu durdurmak zorunda kalmamak.

Ayrıca bakınız: https://unix.stackexchange.com/a/55481/32558

— Ciro Santilli'in Instagram ciro_antilli Hesabındaki Resimleri ciro_antilli
kaynak

1

Eğer sshd ile ilgili tüm günlük mesajlarını görmek istiyorsanız, şunu çalıştırın:

grep -rsh sshd /var/log |sort

— konuk
kaynak

2

Kayıtlar Mar 14 19:52:04, yılı dışlayan ve kolayca sıralanmayan girişlerle başlayacaktır ( sort --month-sortyıllar arasında bir sınırı geçmediğinizi varsayarak şanslı olabilirsiniz ). Günlük dosyaları zaten sıralanmıştır, bu nedenle onları doğru sırayla taramanız gerekir. Ayrıca, özyinelemeli grep -rçağrı büyük kütüklere sahip sistemlerde gerçekten yavaş olacaktır. Ayrıca, HTTPD günlükleriniz gibi şeyleri taramak için hiçbir neden yoktur.

— Adam Katz,

1

Yapabilirsin tail -f /var/log/auth.log

— Aditya Mittal
kaynak

1

ServerFault'a hoş geldiniz. Soruyu okudun mu? O dosyada veri alamıyor. tailİçinde veri yoksa, işe yaramaz.

— hatunlar

@chicks Bu komik. Çoğu oyla cevap neredeyse aynen aynı ..

— Qback