虽然尾巴/var/log/auth.log我注意到有多个条目input(瞬间)用户“富”分钟。 我个人只有一个连接打开作为用户“root_bar”而尾随auth.log (日志示例下面)。 正如你所看到的,这个传入的SSH连接没有IP信息。 跟踪传入SSH连接的IP地址的最佳方式是什么?
Aug 10 14:30:04 ps2000 suexec: (pam_unix) session opened for user root_bar by (uid=999) Aug 10 14:30:04 ps2000 suexec: (pam_unix) session closed for user root_bar Aug 10 14:30:06 ps2000 suexec: (pam_unix) session opened for user root_bar by (uid=999) Aug 10 14:30:06 ps2000 suexec: (pam_unix) session closed for user root_bar Aug 10 14:30:08 ps2000 CRON[16879]: (pam_unix) session closed for user root_bar Aug 10 14:30:14 ps2000 suexec: (pam_unix) session opened for user root_bar by (uid=999) Aug 10 14:30:14 ps2000 suexec: (pam_unix) session closed for user root_bar Aug 10 14:30:16 ps2000 suexec: (pam_unix) session opened for user root_bar by (uid=999) Aug 10 14:30:16 ps2000 suexec: (pam_unix) session closed for user root_bar Aug 10 14:30:27 ps2000 suexec: (pam_unix) session opened for user root_bar by (uid=999) Aug 10 14:30:27 ps2000 suexec: (pam_unix) session closed for user root_bar Aug 10 14:30:39 ps2000 suexec: (pam_unix) session opened for user root_bar by (uid=999) Aug 10 14:30:39 ps2000 suexec: (pam_unix) session closed for user root_bar
免责声明:服务器名称,所有的用户信息已由于安全原因而被更改。
更正 :“ 跟踪传入的SSH连接 ”的问题已被下面的海报正确回答。 消息suexec(pam_unix)会话并不一定表示任何由@aseq澄清的sshd活动,并且由于我的无知,我将其作为sshd问题发布。 由于原来的问题,它的答案是有帮助的,我接受最有帮助的答案。 我认为跟踪suexec: (pam_unix) session是一个单独的问题的候选人。
最终更新 :我发现上面的消息确实与sshd有关。 在/etc/pam.d/common-auth做了一些调整之后,我开始看到像
Aug 10 16:45:23 candy_bass sshd[427]: (pam_unix) session opened for user summer_flag by (uid=0) Aug 10 16:45:23 candy_bass sshd[427]: PAM pam_parse: expecting return value; [...sucess=1 default=ignore] Aug 10 16:45:23 candy_bass sshd[427]: PAM pam_parse: expecting return value; [...sucess=1 default=ignore] Aug 10 16:45:23 candy_bass sshd[427]: Accepted publickey for summer_flag from xxx.zzz.yyy.abc port 35964 ssh2 Aug 10 16:45:23 candy_bass sshd[427]: (pam_unix) session opened for user summer_flag by (uid=0) Aug 10 16:45:23 candy_bass pam_limits[427]: setrlimit limit #11 to soft=-1, hard=-1 failed: Operation not permitted; uid=0 euid=0 Aug 10 16:45:23 candy_bass pam_limits[427]: setrlimit limit #12 to soft=-1, hard=-1 failed: Operation not permitted; uid=0 euid=0 Aug 10 16:45:23 candy_bass sshd[427]: (pam_unix) session closed for user summer_flag
所以这与sshd有关,因为这对于一个token-auth供应商来说是非常特殊的(我的名字我没有公开隐私),所以我认为这可能会被供应商更好的解决。
这些日志条目是怎样的?
ssh服务器应在/var/log/auth.log和其他日志文件中默认loggingIP地址,例如:
Aug 1 12:21:30 example.host sshd[1174]: Failed password for invalid user example from 192.0.2.1 port 9460 ssh2 Aug 1 12:21:32 example.host sshd[1176]: Invalid user root from 192.0.2.10
如果你正在问的日志条目中没有string“sshd”,我怀疑他们实际上来自ssh服务器,你需要看别的地方。 看看主机名后面的string,它告诉你哪个程序正在写入日志。
您也可以检查/ etc / ssh / sshd_config并查看日志级别是否正确,squeeze上的默认值是:
# Logging SyslogFacility AUTH LogLevel INFO
也许增加冗长可能会揭示更多的信息。 您添加到您的问题的日志条目应该在上面粘贴的日志条目之前。
无论是否有人成功login,您都会在连接build立时看到SSH连接的打开和closures。
要查看更多有关通过sshlogin尝试成功和失败的信息,请查看/var/log/secure和/或/var/log/messages 。
***请注意,位置可能会有所不同,这取决于您的Linux和/或您的托pipe服务提供商的分布。
如果您有权访问服务器上的root用户,则可以利用iptables为tcp端口22上的所有NEW连接实现“LOG”语句。这会将信息添加到/ var / log / messages文件,指出将要发生什么连接入站到您的服务器。
如果你正在运行IPv6,我相信那里的防火墙会有iptables6。
我通过注释/etc/ssh/sshd_config上的ChallengeResponseAuthentication和UsePAM设置来解决auth.log问题的开幕式和闭幕式问题。
ChallengeResponseAuthentication yes UsePAM yes
至
#ChallengeResponseAuthentication yes #UsePAM yes
换句话说,我暂时禁用了PAM模块,而我正在找出供应商的正确设置。