Як змінити sshdрозташування файлів реєстрації в CentOS? sshdжурнали до, /var/log/messagesа не /var/log/secure. Як я можу змінити налаштування, щоб sshdперестати надсилати журнали /var/log/messages?
/var/log/auth.log
Відповіді:
Будь ласка, опублікуйте, що sshd_configщось інше, здавалося б, не працює. Акційна система CentOS завжди входить в систему /var/log/secure.
$ sudo tail -f /var/log/secure
Feb 18 23:23:34 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 18 23:23:36 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2
Feb 18 23:23:42 greeneggs unix_chkpwd[3555]: password check failed for user (root)
Feb 18 23:23:42 greeneggs sshd[3545]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 18 23:23:43 greeneggs sshd[3545]: Failed password for root from ::1 port 46401 ssh2
Feb 18 23:23:48 greeneggs sshd[3545]: Accepted password for root from ::1 port 46401 ssh2
Feb 18 23:23:48 greeneggs sshd[3545]: pam_unix(sshd:session): session opened for user root by (uid=0)
Feb 18 23:24:05 greeneggs sshd[3545]: Received disconnect from ::1: 11: disconnected by user
Feb 18 23:24:05 greeneggs sshd[3545]: pam_unix(sshd:session): session closed for user root
Feb 18 23:27:15 greeneggs sudo: saml : TTY=pts/3 ; PWD=/home/saml ; USER=root ; COMMAND=/bin/tail /var/log/secure
Це контролюється через /etc/ssh/sshd_config:
# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
SyslogFacility AUTHPRIV
#LogLevel INFO
А також зміст /etc/rsyslog.conf:
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
В одному зі своїх коментарів ви згадали, що ваш rsyslogdконфігураційний файл був названий /etc/rsyslog.config. Це неправильне ім'я цього файлу, і це, мабуть, причина вашої реєстрації. Змініть ім'я цього файлу на, /etc/rsyslog.confа потім перезапустіть службу реєстрації.
$ sudo service rsyslog restart
sshdвиконуваного файлу. Якщо ви хочете змінити значення за замовчуванням, ви можете надати параметри sshdкомандного рядка або відредагувати його конфігураційний файл.
sshбуло складено так, що LogLevelбуло встановлено INFOза замовчуванням. Щоб її замінити, вам потрібно відмітити цей рядок і змінити його значення.
Файл sshdsyslog за замовчуванням є AUTH, тому він буде ввійти в syslog до /var/log/messages.
Щоб зробити sshdжурнал у новому файлі, ви можете змінити його за допомогою системи syslog на щось інше, а потім налаштувати syslog, щоб записати цей новий об'єкт на новий файл, тобто:
У sshd_config додайте цей рядок:
SyslogFacility AUTHPRIV
Потім у syslog.conf:
authpriv.* /var/log/secure
SyslogFacility AUTHPRIVце вже за замовчуванням для дистрибутивів RH. Вони перекривають його як частину упаковки.
/etc/rsyslog.configна /etc/rsyslog.conf.
/var/log/message, чи справді це місце? Це взагалі/var/log/messages.