SSH log file

[raptile]

Waar kan ik deze terug vinden?

In system information > logs zie ik dat mn ssh sessie wordt gelogt maar ik kan de logfile nergens terug vinden.
Kan iemand mij vertellen waar die zit?

[raptile]

iemand enig idee?

[Goner]

Heb ook wel eens zitten zoeken ...
Er is een /var/log/synoconn.log en synosys.log, maar die zijn niet in clear text. Geen idee hoe je die uit moet lezen.

In sshd_config staan deze entries ;

# Logging
# obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

je zou dus denken dat er ergens iets gelogd moet worden.

EDIT: ben eens gaan zitten zoeken en vond dit :
By default, the OpenSSH server logs to the AUTH facility of syslog, at the INFO level. If you want to record more information - such as failed login attempts - you should increase the logging level to VERBOSE.
It's recommended to log more information if you're curious about malicious SSH traffic.
To increase the level, find the following line in your sshd_config:
LogLevel INFO and change it to this:
LogLevel VERBOSE Now all the details of ssh login attempts will be saved in your /var/log/auth.log file.

dus aangepast naar VERBOSE, restart sshd gedaan (/usr/syno/etc.defaults/rc.d/S95sshd.sh restart) en verbinding gemaakt met Putty (SSH) en Filezilla (SSH FTP), maar geen auth.log  

[raptile]

Heb ook wel eens zitten zoeken ...
Er is een /var/log/synoconn.log en synosys.log, maar die zijn niet in clear text. Geen idee hoe je die uit moet lezen.

Volgens mij zijn dit slechts logs met welk type connectie er op gezet is naar je shared folders e.d.

dus aangepast naar VERBOSE, restart sshd gedaan (/usr/syno/etc.defaults/rc.d/S95sshd.sh restart) en verbinding gemaakt met Putty (SSH) en Filezilla (SSH FTP), maar geen auth.log  

Ja precies, daar was ik inderdaad ook al achter.
Als ik heel eerlijk ben vindt ik het zeer frustrerend dat ik niet makkelijk uit kan vogelen waar de logs zich bevinden en niet aangemaakt worden alszijnde auth.log

[raptile]

Ik ben een stapje verder maar het is nog niet zoals ik wil:
in /etc/syslog.deny staan entries die tegen gehouden worden om in /var/log/messages te komen.

Ik heb een # voor INFO geplaatst en in /etc/ssh/sshd_config het volgende geplaatst
SyslogFacility AUTH
LogLevel DEBUG

Vervolgens mn NAS herstart.

En nu... een hoop bagger maar wel iets aan logging:

Code: [Selecteer]

cat /var/log/messages
May 18 02:53:07 sshd[11651]: Set /proc/self/oom_adj to 0
May 18 02:53:07 sshd[11651]: Connection from *.*.*.* port 56684
May 18 02:53:07 sshd[11651]: SSH: Server;Ltype: Version;Remote: *.*.*.*-56684;Protocol: 2.0;Client: PuTTY_Release_0.62
May 18 02:53:07 sshd[11651]: WARNING: /etc/ssh/moduli does not exist, using fixed modulus
May 18 02:53:08 sshd[11651]: Found matching RSA key: 03:e8:6b:21:fa:7a:e5:27:2f:6a:ab:ea:71:cc:ae:2b
May 18 02:53:11 sshd[11651]: Found matching RSA key: 03:e8:6b:21:fa:7a:e5:27:2f:6a:ab:ea:71:cc:ae:2b
May 18 02:53:11 sshd[11651]: Accepted publickey for root from *.*.*.* port 56684 ssh2
May 18 02:53:11 sshd[11651]: pam_unix(sshd:session): session opened for user root by (uid=0)
May 18 02:53:11 sshd[11663]: lastlog_openseek: Couldn't stat /var/log/lastlog: No such file or directory
May 18 02:53:11 sshd[11663]: lastlog_openseek: Couldn't stat /var/log/lastlog: No such file or directory

Bij mij is het alleen toegestaan om met een key in to loggen en niet alleen emt username en pw.
Ik weet dan ook niet hoe de logs er uit zien als je foutief inlogt met username en wachtwoord.
Als ik een foutief ww invoer voor mijn key dan logt hij dit helaas niet.
Als ik probeer in te loggen zonder key logt hij dit ook niet.

WARNING: /etc/ssh/moduli does not exist, using fixed modulus schijnt een veel voorkomend probleem te zijn.
Dit is op te lossen door een nieuwe versie van openssh te installeren. (meen ik, aangezien er op andere fora o.a. staat sudo cp openssh-4.3p2/moduli /etc/ssh/ of yum update openssh te draaien om dit op te lossen)

Ik heb nu redelijk wat onderzocht maar kom er echt niet achter hoe ik foutieve inlog pogingen moet loggen indien er bijvoorbeeld geen key wordt gebruikt of wanneer een wachtwoord foutief is voor een key.

Anderen zullen misschien denken "wat een onzin, ik wil alleen weten wanneer het wel gelukt is" maar ik denk daar anders over.
Ik wil namelijk weten vanaf welk ip een poging is gedaan zodat ik deze kan blacklisten indien nodig.