Re: Actividad en archivo auth.log
On Wed, Aug 23, 2023 at 08:53:45AM -0400, Rick Gutierrez wrote:
> Saludos lista, alguien usando debian 12 qué pueda verificar si en el
> archivo auth.log esta la actividad de las conexiones ssh, estoy revisando
> una instalación qué hice y veo que no registra la actividad de las
> conexiones ssh, active el loglevel a verbose y tampoco logro qué funcione?
> También revise el rsyslog y veo que la línea qué refiere a la
> aunteticacion esta ahí.
>
En auth.log veo una gran cantidad de mensajes parecido a esto:
2023-08-23T09:48:32.417117-04:00 build01 sshd[3701736]: User root from 103.81.86.208 not allow
ed because not listed in AllowUsers
2023-08-23T09:48:32.685843-04:00 build01 sshd[3701736]: Received disconnect from 103.81.86.208
port 42522:11: Bye Bye [preauth]
2023-08-23T09:48:32.686043-04:00 build01 sshd[3701736]: Disconnected from invalid user root 10
3.81.86.208 port 42522 [preauth]
> auth,authpriv.* /var/log/auth.log
>
Y tengo lo mismo en /etc/rsyslog.conf.
Tiene que haber algo de mal con tu configuración, pero nos haría falta
ver /etc/ssh/sshd_config y /etc/rsyslog.conf (o cualquier cosa que
tienes debajo /etc/rsyslog.d/) para poder prestarte mejor ayuda.
Saludos,
-Roberto
--
Roberto C. Sánchez
Reply to: