Changer l'emplacement du fichier de journalisation sshd sur CentOS?

14

Comment changer l' sshdemplacement du fichier de journalisation sur CentOS? sshdse connecte à la /var/log/messagesplace de /var/log/secure. Comment puis-je modifier le paramètre afin de sshdne plus envoyer de journaux à /var/log/messages?

Jidrick
la source
1
Vous continuez à écrire, /var/log/messageest-ce vraiment l'endroit? C'est généralement /var/log/messages.
slm
1
@slm c'était ici/var/log/messages , peut-être que OP a les deux ;-)
Anthon
Sur mon système Ubuntu, le journal ssh est entré/var/log/auth.log
Eric Wang

Réponses:

18

Veuillez poster votre sshd_configquelque chose d'autre semble être en place. Un système CentOS d'origine se connecte toujours /var/log/secure.

Exemple

$ sudo tail -f /var/log/secure
Feb 18 23:23:34 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 18 23:23:36 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2
Feb 18 23:23:42 greeneggs unix_chkpwd[3555]: password check failed for user (root)
Feb 18 23:23:42 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 18 23:23:43 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2
Feb 18 23:23:48 greeneggs sshd[3545]: Accepted password for root from ::1 port 46401 ssh2
Feb 18 23:23:48 greeneggs sshd[3545]: pam_unix(sshd:session): session opened for user root by (uid=0)
Feb 18 23:24:05 greeneggs sshd[3545]: Received disconnect from ::1: 11: disconnected by user
Feb 18 23:24:05 greeneggs sshd[3545]: pam_unix(sshd:session): session closed for user root
Feb 18 23:27:15 greeneggs sudo:     saml : TTY=pts/3 ; PWD=/home/saml ; USER=root ; COMMAND=/bin/tail /var/log/secure

Ceci est contrôlé par /etc/ssh/sshd_config:

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO

Ainsi que le contenu de /etc/rsyslog.conf:

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

Votre problème

Dans l'un de vos commentaires, vous avez mentionné que votre rsyslogdfichier de configuration avait été nommé /etc/rsyslog.config. Ce n'est pas le nom correct pour ce fichier et c'est probablement la raison pour laquelle votre journalisation est foirée. Modifiez le nom de ce fichier en /etc/rsyslog.confpuis redémarrez le service de journalisation.

$ sudo service rsyslog restart
slm
la source
Merci, je me demandais si "SyslogFacility AUTHPRIV" était commenté. Comment sshd sait-il quels sont les paramètres par défaut? Les valeurs par défaut sont-elles stockées à un endroit que vous pouvez modifier?
Jidrick
Les valeurs par défaut se trouvent dans le code source qui a été utilisé pour compiler le sshdfichier exécutable. Si vous souhaitez remplacer les valeurs par défaut, vous pouvez donner sshddes options de ligne de commande ou modifier son fichier de configuration.
Mark Plotnick
@MarkPlotnick - oui, comme c'est généralement le cas dans les fichiers de configuration (comme indiqué ci-dessus), les valeurs par défaut sont affichées dans le fichier de configuration, mais sont ensuite commentées. So a sshété compilé de manière à LogLevelêtre défini INFOpar défaut. Pour la remplacer, vous devez supprimer la mise en commentaire de cette ligne, puis modifier sa valeur.
slm
3

La fonction sshdsyslog par défaut est AUTH, elle sera donc connectée à syslog dans /var/log/messages.

Pour créer un sshdjournal dans un nouveau fichier, vous pouvez le changer d'installation syslog en quelque chose d'autre, puis configurer syslog pour enregistrer cette nouvelle installation dans un nouveau fichier, c'est-à-dire:

Dans sshd_config, ajoutez cette ligne:

SyslogFacility AUTHPRIV

Puis dans syslog.conf:

authpriv.* /var/log/secure
cuonglm
la source
@Jidrick - quelque chose ne va pas avec votre boîte. Il semble être cassé et manquer des choses.
slm
@Jidrick: vous pouvez vérifier d'autres comme rsyslog?
cuonglm
@Gnouc - SyslogFacility AUTHPRIVest déjà la valeur par défaut sur les distributions RH. Ils l'emportent dans le cadre de l'emballage.
slm
@Gnouc Oui, mais changer cela ne semble pas fonctionner.
Jidrick
@Jidrick - changez le nom du fichier /etc/rsyslog.configen /etc/rsyslog.conf.
slm