SSHD服務(wù)的日志存儲位置-錯誤日志分析-修改日志存儲位置

1、sshd服務(wù)日志存放在：/var/log/secure

奇怪sshd配置文件中沒有制定，但日志卻存放在這？

2、修改sshd日志存儲位置方法

vim /etc/rsyslog.conf

# The authprivfilehas restricted access.

authpriv.*? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? /var/log/secure

tailf /var/log/secure

因為secure存放了很多服務(wù)器的日志，對日志分析很麻煩，我們應(yīng)該把日志另外存放，配置ssh配置文件

[root@master ~]# vim /etc/ssh/sshd_config

#SyslogFacility AUTH

SyslogFacility AUTHPRIV

#LogLevel INFO

改 SyslogFacility? local1

更改日志服務(wù)配置

[root@master ~]# vim /etc/rsyslog.conf

#sign

local1.* /var/log/sshd.log

重啟日志服務(wù)和sshd服務(wù)

3、錯誤日志分析

使用ssh遠程登錄一直不能登錄，輸入正確的用戶名密碼也不能額登錄，使用其他主機，部分可以登錄，部分不能登錄。sshd服務(wù)對終端用戶登錄做了限制。錯誤日志打印如下：

sshd錯誤日志打印

可以看到是因為登錄用戶沒有在AllowUsers中列出。

修改/etc/ssh/sshd_config配置文件，將新主機添加到AllowUsers列表中，或者刪除這一行，對登錄用戶不做限制即可。