logo标签列表

Ubuntu 14.04记录SSH访问尝试的位置在哪里?

14.04sshlog

试图找出为什么 fail2ban 不起作用。

Ubuntu 14.04 记录 SSH 访问尝试的位置在哪里?

你可以询问 rsyslogd 它记录到哪些文件:在你的系统上运行 cat /etc/rsyslog.d/* | egrep -v '^#|^$' | egrep -o '/[^ ]+'。 - waltinator
2个回答
所有的登录尝试都会被记录到/var/log/auth.log文件中。
搜索暴力破解SSH登录,请运行以下命令:
grep sshd.\*Failed /var/log/auth.log | less

搜索失败的连接

运行以下命令:

grep sshd.*Did /var/log/auth.log | less

更新:

你应该尝试重新启动系统日志守护进程,看看是否开始记录到正确的文件中。

sudo service rsyslog restart

一旦您的消息发送到auth.log,它应该开始工作。
1我查看了/var/log/auth.log文件,发现它是空的,没有任何日志被记录进去... - timbram
请检查更新。 - Maythux
好的,刚刚重新启动了rsyslog。然后退出登录,尝试用几个错误的密码登录。然后成功地登录了。但是auth.log仍然没有记录任何内容。 - timbram
你认为我接下来应该看什么? - timbram
我注意到在/var/log目录下,我使用的用户名(非root用户)是许多这些文件的所有者。你认为这可能是问题吗? - timbram
是的,肯定是权限的问题。根据另一台服务器上的正确设置,我已经修正了日志记录到auth.log。虽然fail2ban仍然没有封禁,但如果我无法解决这个问题,我会提出另一个问题。 - timbram

SSH的默认日志设置是“INFO”。

如果你想将登录尝试记录在日志文件中,你需要编辑/etc/ssh/sshd_config文件,并将"LogLevel"从INFO更改为VERBOSE

之后,使用以下命令重新启动sshd守护进程:

sudo service rsyslog restart

此后,ssh登录尝试将被记录在/var/log/auth.log文件中。
感谢对格式的澄清。下次我回答问题时,我会找一下如何做到这一点。 - Shay Walters
对于较新版本的Ubuntu,请使用sudo systemctl restart rsyslog.service来重新启动rsyslog服务。 - Indika K