作者operationcow (香蕉公车)
看板LinuxDev
标题[问题] 请问 sshd(openssh) 的 log 资讯
时间Sat Nov 28 15:57:35 2009
※ [本文转录自 Linux 看板]
作者: operationcow (香蕉公车) 看板: Linux
标题: [问题] 请问 sshd(openssh) 的 log 资讯
时间: Sat Nov 28 12:30:25 2009
※ [本文转录自 LinuxDev 看板]
作者: operationcow (香蕉公车) 看板: LinuxDev
标题: [问题] 请问 sshd(openssh) 的 log 资讯
时间: Sat Nov 28 12:29:58 2009
小弟我最近在研究 log, 希望撰写一个可以防止 ssh bruteforce
attempt 的 script
因此我看了 /etc/syslog.conf 後决定从 /var/log/messages 下手
我发现每次只要 ssh 失败, 就会出现
sshd[816]: error: PAM: authentication error for xxxx
如果是某一次登入连续三次输入密码失败而被踢出
就会出现
sshd[816]: error: PAM: authentication error for xxxx
last message repeated 2 times
我有两个疑问
(1) error: PAM: authentication error for xxxx 这个 log 可以很容易
看出是由 pid 为 816 的 sshd 所 syslog 的, 但 last message
repeated 2 times 却没有说是哪一个 process 所 syslog 的. 请问这是
哪里来的呢??
(2) 上网找了资料, 看到有的资料是藉由分析 error: PAM: authentication
error for xxxx 来获得该被阻挡的 IP, 但是我有一个问题, 就是怎麽知
道 ssh 失败只会产生这种 log, 有什麽地方可以看到 openssh 所会产生
的所有 log 吗?? 我有尝试把 openssh 下载下来 trace code, 不过看了
一下就眼花了 OTZ...
[其实我主要想问的是, 大家为不同的 application 撰写 log analysis
script, 都是去哪里获得该 application 资料及确保自己撰写的 script
是正确的呢??]
问题有点长, 感谢大家 <(__)>
-----------------------------------------------------------------------
(1)
以下是我查到的资料:
http://0rz.tw/mptVm
因为是 disable 这个功能是在 syslogd 的 option, 所以可以很合理的推断这是
属於 syslogd 所 log 的资讯, 目的应该是为了避免太多重复的 log message
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 219.70.167.69
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 219.70.167.69
1F:推 ago1414:ssh 可以自订 log 档案 # man sshd_config 11/28 13:36
2F:→ operationcow:我是看 man sshd_config 里面的 LogLevel, 那个似乎 11/28 15:17
3F:→ operationcow:只能设定不同的 LogLevel, 不能看到所有可能的 11/28 15:17
4F:→ operationcow:message, 请问有什麽方式可以看到所有的 log message 11/28 15:18
5F:→ operationcow:呢?? 感谢 11/28 15:18
※ 编辑: operationcow 来自: 219.70.167.69 (11/28 15:56)
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 219.70.167.69
6F:→ richliu:参考一下 sshguard ? 11/28 16:02