Comment vérifier le journal sshd?

Question

J'ai Ubuntu 9.10 installé avec sshd et je peux me connecter avec succès à l'aide de l'identifiant et du mot de passe. J'ai configuré une connexion de clé RSA et j'ai maintenant "Le serveur a refusé notre clé" comme prévu. Ok, maintenant je veux vérifier le journal de sshd afin de trouver un problème. J'ai examiné /etc/ssh/sshd_config et il a

SyslogFacility AUTH LogLevel INFO

D'accord. Je regarde /var/log/auth.log et ... c'est vide O_O. Changer Loglevel en VERBOSE ne sert à rien - auth.log est toujours vide. Des conseils sur la façon de vérifier le journal de sshd?

Peto · Accepted Answer

Si personne d'autre n'utilise le système pour le moment, vous pouvez faire ce que j'ai fait dans de tels cas:

arrêter le service sshd (au moins j'ai pu le faire en étant connecté via ssh)
démarrez sshd manuellement et ajoutez des options -d pour obtenir une sortie de débogage plus détaillée. Sauf si vous avez quelque chose de génial, il devrait utiliser les mêmes clés et le configurer lorsqu'il est démarré correctement

Ram · Answer

Création d'une réponse basée sur les commentaires ci-dessus, crédit à @Prof. Moriarty et @Eye of Hell

Les échecs d'authentification SSH sont enregistrés ici /var/log/auth.log

Ce qui suit ne devrait vous donner que des lignes de log liées à ssh

grep 'sshd' /var/log/auth.log

Pour être sûr, récupérez les dernières centaines de lignes, puis effectuez une recherche (car si le fichier journal est trop volumineux, grep sur l'ensemble du fichier consommera plus de ressources système, sans oublier que l'exécution prendra plus de temps)

Afficher les entrées sshd dans les 500 dernières lignes du journal:

tail -n 500 /var/log/auth.log | grep 'sshd'

ou pour suivre la sortie du journal pendant que vous testez:

tail -f -n 500 /var/log/auth.log | grep 'sshd'

Ciro Santilli 冠状病毒审查六四事件法轮功 · Answer

Si vous pouvez réessayer facilement la connexion en échec, un moyen simple consiste à démarrer un serveur SSH sur un port libre tel que 2222:

/usr/sbin/sshd -d -p 2222

puis réessayez la connexion avec:

ssh -p 2222 user@Host

En utilisant les différents ports -p 2222, nous n'avons pas à arrêter le serveur SSH principal, ce qui pourrait nous bloquer.

Voir aussi: https://unix.stackexchange.com/a/55481/32558

guest · Answer

Si vous souhaitez voir tous les messages de journal sur sshd, exécutez ceci:

grep -rsh sshd /var/log |sort

Aditya Mittal · Answer

Vous pouvez tail -f /var/log/auth.log