Pregunta ¿Cómo comprobar el registro sshd?


Tengo Ubuntu 9.10 instalado con sshd y puedo conectarme exitosamente usando login y contraseña. He configurado un RSA clave de inicio de sesión y ahora tienen "Servidor rechazó nuestra clave" como se esperaba. Ok ahora quiero comprobar sshd iniciar sesión para resolver un problema. He examinado /etc/ssh/sshd_config y tiene

SyslogFacility AUTH
LogLevel INFO

De acuerdo. Estoy mirando a /var/log/auth.log y ... está vacío O_O. Cambiando Loglevel a VERBOSE nada ayuda auth.log todavía está vacío. Cualquier consejo de cómo puedo verificar sshd ¿Iniciar sesión?


103
2018-04-08 10:22


origen


¿Revisaste tu configuración de syslog? No ejecuto Ubuntu, pero puede redirigir la instalación AUTH a un archivo de registro diferente. Tal vez / var / log / messages? - Prof. Moriarty
¿Cómo comprobar una configuración de syslog? Desafortunadamente, no soy muy bueno un linux :(. cat /var/log/messages | grep ssh no muestra nada :(. - grigoryvp
Estás en lo correcto. /etc/syslog.conf redirige AUTH a /var/logauth.log. Por favor escriba su respuesta para que pueda aceptarlo :) - grigoryvp
En mis servidores, sshd se registra en / var / log / secure. Esto se configura en /etc/rsyslog.conf, en la línea que comienza con "authpriv. *" - Isaac Betesh
authpriv ?? ¿Cómo diablos se suponía que sabíamos que tenía algo que ver con sshd? :-) - Spencer Williams


Respuestas:


Si nadie más está usando el sistema en este momento, podría hacer lo que yo he hecho en estos casos:

  • detener el servicio sshd (al menos he podido hacer esto mientras estoy conectado a través de ssh)
  • inicie sshd manualmente y agregue algunas opciones -d para obtener un resultado de depuración más detallado. A menos que tenga algo raro, debe usar las mismas teclas y la configuración que se usa cuando se inicia correctamente

8
2018-04-08 11:37



Detener SSHD en un servidor remoto es una muy mala idea. Esto puede resolver el problema en algunas (o en la mayoría) de las configuraciones la mayoría de las veces, pero si ALGO va mal, su conexión, la alimentación en cualquier extremo, el olvido, etc., queda fuera de la caja. Que es una mala noticia. - Sudowned
Bueno, debe tenerse en cuenta que la única forma en que podría iniciar el servicio después de detenerlo manualmente sería tener otro tipo de acceso a él, como otra conexión remota que no sea SSH, o que esté sentado frente a él. - Spencer Williams
¿Cómo responde esto a la pregunta? Llegué aquí desde una búsqueda en la web, esperando aprender cómo revisar los archivos de registro de SSHD, no lo que funcionó para usted por algún problema ... Maldición, deseo que los lectores de la red de Stack Exchange lean y respondan la pregunta en cuestión, y no La pregunta que quieren que sea ... - jww
Puede iniciar otro sshd en otro puerto. Conéctate a eso. Luego, detenga el sshd principal e inicie uno nuevo en el puerto 22. Si algo falla, reinicie el cuadro utilizando su DRAC o la administración de la nube. Deberías tener sshd comenzando en el arranque, ¿verdad? Sin preocupaciones. - Bruno Bronosky
@JoelESalas La comunidad no decide qué respuestas se aceptan. - kasperd


Creando una respuesta basada en los comentarios anteriores, crédito a @Prof. Moriarty y @Eye of Hell

Los fallos de autenticación SSH se registran aquí /var/log/auth.log

Lo siguiente debería darle solo las líneas de registro relacionadas con ssh

grep 'sshd' /var/log/auth.log

Para estar seguro, obtenga los últimos cientos de líneas y luego busque (porque si el archivo de registro es demasiado grande, grep en todo el archivo consumirá más recursos del sistema, por no tardar más en ejecutarse)

tail -500 /var/log/auth.log | grep 'sshd'


118
2018-02-19 19:56



Esta respuesta. Otra respuesta con flecha verde es falsa. Cambiar flecha. - nottinhill
¿Por qué no usar tail -f ... ¿Para monitorearlo en tiempo real? ¿Sería esto un problema con archivos de registro más grandes? - ingh.am
less +F ... 'cola' en tiempo real, y es mucho más potente que la cola - northben
Y lnav es incluso mejor que menos / cola - Wayne Werner
P.s .: si su servidor es Red Hat (como CentOS), la ruta del registro de registros sshd / login es / var / log / secure (verifique también la carpeta / var / log para los archivos de registro de fechas específicas). Vea esta respuesta: serverfault.com/questions/465833/… - Brian Hellekin


Si puede volver a intentar la conexión fallida fácilmente, una forma sencilla es ejecutar:

/usr/sbin/sshd -d -p 2222

y luego vuelva a intentar la conexión con:

ssh -p 2222 user@host

Utilizando -p 2222 para que no tengamos que detener el servidor SSH principal, lo que podría bloquearlo.

Ver también: https://unix.stackexchange.com/a/55481/32558


3
2017-08-13 07:13





Si desea ver todos los mensajes de registro sobre sshd, ejecute esto:

grep -rsh sshd /var/log |sort

-1
2018-06-28 14:24



Los registros comenzarán con entradas como Mar 14 19:52:04 que excluyen el año y no son fáciles de clasificar (aunque puede tener suerte con sort --month-sort asumiendo que usted no pasa un límite entre años). Los archivos de registro en sí ya están ordenados, así que solo tiene que escanearlos en el orden correcto. Además, la recursiva. grep -r La llamada será muy lenta en sistemas con registros grandes. No hay razón para escanear adicionalmente cosas como sus registros HTTPD. - Adam Katz


Usted puede tail -f /var/log/auth.log


-1
2017-11-10 00:44



Bienvenido a ServerFault. ¿Leíste la pregunta? Él no está recibiendo datos en ese archivo. tailInutilizándolo si no tiene ningún dato. - chicks
@chicks Eso es gracioso. Responder con la mayoría de los votos es casi lo mismo así ... - Qback