ssh logging auth.log

Status
Für weitere Antworten geschlossen.

ginchiller

Benutzer
Mitglied seit
01. Jun 2009
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hallo,
zuerst möchte ich mich entschuldigen, falls es schon einen Thread gibt, der mein Problem behandelt, ich habe es zuerst selbst versucht, dann google befragt und auch die Suchmaschine hier im Forum nach auth.log befragt, leider ohne passendem Ergebnis...
Also ich möchte fail2ban auf meiner DS installieren, das hat auch problemlos funktioniert nachdem python mittels ipkg nachgerüstet wurde.
nun möchte ich zu beginn einmal den ssh dienst überwachen bzw. genauer gesagt die Zugriffe.
Nun scheitere ich schon leider daran, dass der ssh dienst nicht in /var/log/auth.log protokolliert?! ich habe das loggen in der sshd_config aktiviert

# Logging
# obsoletes QuietMode and FascistLogging
SyslogFacility AUTH
LogLevel INFO

restartet habe ich den Dienst hoffentlich auch korrekt (habe den Dienst per WebGUI deaktiviert und wieder aktiviert, müsste doch einem restart gleich kommen,oder?), jedoch wird nicht nach auth.log mitgeschrieben
ich hoffe ihr könnt mir helfen
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Existiert die auth.log wo der sshd ihn erwartet? DS schon mal komplett neu gestartet? Hat das re-aktivieren vielleicht die Config wieder geändert? Vielleicht spuckt ja /var/log/messages was aus (oder vlt gibts so ein Log auch für den sshd)...

MfG Matthieu
 

ginchiller

Benutzer
Mitglied seit
01. Jun 2009
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
also nachdem ich die ds neu gestartet habe und mit putty per key einsteige und ein tail auf die /var/log/messages mache erhalte ich folgende rückmeldung:

Oct 13 17:16:22 init: Starting pid 3290, console /dev/ttyS0: '/sbin/getty'
Oct 13 17:16:28 exportfs[3413]: can't open /var/lib/nfs/rmtab for reading
Oct 13 17:16:29 sshd[3516]: Server listening on 0.0.0.0 port 22.
Oct 13 17:16:37 kernel: findhostd uses obsolete (PF_INET,SOCK_PACKET)
Oct 13 17:18:19 scemd: scemd.c:185 stop manutild.
Oct 13 17:22:47 sshd[3723]: WARNING: /etc/ssh/moduli does not exist, using fixed modulus
Oct 13 17:22:47 sshd[3723]: Accepted publickey for root from 192.168.1.136 port 51670 ssh2
Oct 13 17:22:47 sshd[3727]: lastlog_openseek: Couldn't stat /var/log/lastlog: No such file or directory
Oct 13 17:22:47 sshd[3727]: lastlog_openseek: Couldn't stat /var/log/lastlog: No such file or directory
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Oct 13 17:22:47 sshd[3727]: lastlog_openseek: Couldn't stat /var/log/lastlog: No such file or directory
Oct 13 17:22:47 sshd[3727]: lastlog_openseek: Couldn't stat /var/log/lastlog: No such file or directory
Na da haben wirs doch. SSHD darf dort offenbar keine Dateien/Ordner erstellen und meckert daher. Legs mal selbst an.

MfG Matthieu
 

ginchiller

Benutzer
Mitglied seit
01. Jun 2009
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
habe ich bereits gemacht, hab google mal gefragt und diese Seite entdeckt Link jedoch scheitert es beim Befehl "chgrp utmp /var/log/lastlog" weil diese Gruppe nicht vorhanden ist, sollte ich evtl eine andere nehmen? Habe die Datei als root erstellt

Habe nun nochmal eingeloggt per neuem putty fenster, es wurde auch reingeschrieben, jedoch gibt tail oder cat keine ausgabe der datei, wenn ich mit dem vi hineinsehe entdecke ich folgendes:
Rich (BBCode):
~P~]ÔJttyp1^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@mephistophelesv^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@

mephistophelesv ist der name des rechners mit dem ich einlogge; hab auch schon probiert einen nicht existenten user einzuloggen jedoch ändert sich die datei anschließend nicht, genauso wenig wenn ich mit benutzernamen und passwort einsteige, alleine das ÔJttyp1 wurde zu ~R~]ÔJttyp2


Also die fehlgeschlagenen Loginversuche befinden sich in der /var/log/messages, eines macht mir noch ein wenig sorgen:
WARNING: /etc/ssh/moduli does not exist, using fixed modulus
diese Meldung ist immer noch vorhanden und außerdem würde ich gerne einstellen, wohin der sshd protokolliert, evtl zusätzlich zu /var/log/messages nach auth.log
 
Zuletzt bearbeitet:

JudgeDredd

Benutzer
Mitglied seit
12. Nov 2009
Beiträge
1.071
Punkte für Reaktionen
10
Punkte
64
Hallo ginchiller, Matthieu und alle Anderen natürlich gerne auch ...

also ich habe exact das gleiche Problem wie ginchiller.
Die Meldung "lastlog_openseek: Couldn't stat /var/log/lastlog: No such file or directory" habe ich mittlerweile durch manuelle Anlage der Datei behoben.

Allerdings habe ich weiterhin noch den Logeintrag "WARNING: /etc/ssh/moduli does not exist, using fixed modulus".

Wer kann mir denn hierzu noch weiterhelfen den Fahler zu bereinigen ?

vielen Dank,
Andreas
 

JudgeDredd

Benutzer
Mitglied seit
12. Nov 2009
Beiträge
1.071
Punkte für Reaktionen
10
Punkte
64
Hat hierzu mittlerweile irgendjemand eine Idee ?
Der Logeintrag ist nach wie vor bei Anmeldung über SSH vorhanden ...
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Die Meldung wegen Moduli habe ich auch, allerdings kann ich problemlos mit Zertifikaten einloggen. Habe mal probiert das moduli aus ipkg openssh zu verwenden. Da war dann der Fehler weg, aber ich konnte mich nicht einloggen.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat