guettaseb Posté(e) le 21 septembre 2012 Partager Posté(e) le 21 septembre 2012 (modifié) Bonjour tous le monde, Etant nouveau dans le monde de Synology, je n'arrive pas récupérer les logs de connexions SSH. En effet, dans les logs "messages", j'ai bien les logs sshd concernant les blocages d'IP, mais pas les tentatives de connexions. j'ai décommenté les lignes : SyslogFacility AUTH LogLevel INFO du fichier sshd_config et passé le LogLevel en DEBUG mais rien n'y fait. je me suis aidé du tuto dispo :http://glr81.free.fr/pages/ds101-ssh-logs.htm mais en l'adaptant cela ne fonctionne pas. Avez-vous une idée ? Y a t'il possible de faire la meme chose pour n'importe quel type de connexion ( afin de ne pas se limiter au ssh) ? Merci d'avance, Modifié le 21 septembre 2012 par Patrick21 Titre modifi 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 21 septembre 2012 Partager Posté(e) le 21 septembre 2012 Etant nouveau dans le monde de Synology, je n'arrive pas récupérer les logs de connexions SSH. En effet, dans les logs "messages", j'ai bien les logs sshd concernant les blocages d'IP, mais pas les tentatives de connexions. j'ai décommenté les lignes : SyslogFacility AUTH LogLevel INFO du fichier sshd_config et passé le LogLevel en DEBUG mais rien n'y fait. je me suis aidé du tuto dispo :http://glr81.free.fr/pages/ds101-ssh-logs.htm mais en l'adaptant cela ne fonctionne pas. Avez-vous une idée ? Y a t'il possible de faire la meme chose pour n'importe quel type de connexion ( afin de ne pas se limiter au ssh) ? Merci d'avance, Es-tu sur d'avoir bien décommenté les lignes de syslog.deny comme indiqué dans le tuto? si tu envoie un mesage syslog a la main avec la commande "logger" comme ceci logger -p auth.info test[/CODE] Est-ce que le message est bien présent dans /var/log/messages? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
guettaseb Posté(e) le 21 septembre 2012 Auteur Partager Posté(e) le 21 septembre 2012 Merci CoolRaoul pour ta réponse, J'ai bien dé-commenté ces lignes : DiskStation> cat /etc/syslog.deny # These priorities in this config file are not logged # refer to syslog.h #alert #crit debug #emerg #err info notice # Always keep these setting , as these are obselete # refer to syslog.h error none warn panic L'output de mon sshd_config : DiskStation> cat /etc/ssh/sshd_config # $OpenBSD: sshd_config,v 1.82 2010/09/06 17:10:19 naddy Exp $ # This is the sshd server system-wide configuration file. See # sshd_config(5) for more information. # This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin # The strategy used for options in the default sshd_config shipped with # OpenSSH is to specify options with their default value where # possible, but leave them commented. Uncommented options change a # default value. #Port 22 #AddressFamily any #ListenAddress 0.0.0.0 #ListenAddress :: # The default requires explicit activation of protocol 1 #Protocol 2 # HostKey for protocol version 1 #HostKey /etc/ssh/ssh_host_key # HostKeys for protocol version 2 #HostKey /etc/ssh/ssh_host_rsa_key #HostKey /etc/ssh/ssh_host_dsa_key #HostKey /etc/ssh/ssh_host_ecdsa_key # Lifetime and size of ephemeral version 1 server key #KeyRegenerationInterval 1h #ServerKeyBits 1024 # Logging # obsoletes QuietMode and FascistLogging SyslogFacility AUTH LogLevel DEBUG # Authentication: #LoginGraceTime 2m #PermitRootLogin yes #StrictModes yes #MaxAuthTries 6 #MaxSessions 10 #RSAAuthentication yes #PubkeyAuthentication yes #AuthorizedKeysFile .ssh/authorized_keys # For this to work you will also need host keys in /etc/ssh/ssh_known_hosts #RhostsRSAAuthentication no # similar for protocol version 2 #HostbasedAuthentication no # Change to yes if you don't trust ~/.ssh/known_hosts for # RhostsRSAAuthentication and HostbasedAuthentication #IgnoreUserKnownHosts no # Don't read the user's ~/.rhosts and ~/.shosts files #IgnoreRhosts yes # To disable tunneled clear text passwords, change to no here! #PasswordAuthentication yes #PermitEmptyPasswords no # Change to no to disable s/key passwords #ChallengeResponseAuthentication yes ChallengeResponseAuthentication no # Kerberos options #KerberosAuthentication no #KerberosOrLocalPasswd yes #KerberosTicketCleanup yes #KerberosGetAFSToken no # GSSAPI options #GSSAPIAuthentication no #GSSAPICleanupCredentials yes # Set this to 'yes' to enable PAM authentication, account processing, # and session processing. If this is enabled, PAM authentication will # be allowed through the ChallengeResponseAuthentication and # PasswordAuthentication. Depending on your PAM configuration, # PAM authentication via ChallengeResponseAuthentication may bypass # the setting of "PermitRootLogin without-password". # If you just want the PAM account and session checks to run without # PAM authentication, then enable this but set PasswordAuthentication # and ChallengeResponseAuthentication to 'no'. UsePAM yes #UsePAM no #AllowAgentForwarding yes AllowTcpForwarding no #GatewayPorts no #X11Forwarding no #X11DisplayOffset 10 #X11UseLocalhost yes #PrintMotd yes #PrintLastLog yes #TCPKeepAlive yes #UseLogin no #UsePrivilegeSeparation yes #PermitUserEnvironment no #Compression delayed #ClientAliveInterval 0 #ClientAliveCountMax 3 #UseDNS yes #PidFile /var/run/sshd.pid #MaxStartups 10 #PermitTunnel no ChrootDirectory none #ChrootDirectory /var/services/homes/%u #DenyUsers admin # no default banner path #Banner none # override default of no subsystems #Subsystem sftp /usr/libexec/sftp-server #Subsystem sftp internal-sftp -f DAEMON -l VERBOSE -u 000 Subsystem sftp internal-sftp -f DAEMON -u 000 #Subsystem sftp /usr/syno/sbin/sftp-server -l DEBUG3 #Subsystem sftp /volume1/@optware/libexec/sftp-server # the following are HPN related configuration options # tcp receive buffer polling. disable in non autotuning kernels #TcpRcvBufPoll yes # allow the use of the none cipher #NoneEnabled no # disable hpn performance boosts. #HPNDisabled no # buffer size for hpn to non-hpn connections #HPNBufferSize 2048 # Example of overriding settings on a per-user basis Match User root # X11Forwarding no AllowTcpForwarding yes # ForceCommand cvs server La commande logger -p auth.info test Ne renvoi rien : Sep 21 09:57:45 hotplugd: DEVICE:/proc/bus/usb/001/002 Sep 21 09:57:45 hotplugd: DEVPATH:1-1 Sep 21 09:57:45 hotplugd: SUBSYSTEM:usb Sep 21 09:57:45 hotplugd: external_disk_port_check.c:280 device path should not be NULL Sep 21 09:57:45 hotplugd: ##### ACTION:add Sep 21 09:57:45 hotplugd: DEVICE:/proc/bus/usb/001/002 Sep 21 09:57:45 hotplugd: DEVPATH:1-1:1.0 Sep 21 09:57:45 hotplugd: SUBSYSTEM:usb Sep 21 09:57:45 hotplugd: INTERFACE:9/0/0 Sep 21 09:57:45 hotplugd: hotplugd.c:832 ##### complete device hotplug!! Sep 21 09:57:46 upnpd: (upnpd.c:203) upnpd.c(203) : IP change (old IP = NULL, new IP = 93.4.130.248) Sep 21 09:58:18 kernel: [ 87.240000] nf_conntrack version 0.5.0 (7990 buckets, 31960 max) Sep 21 09:59:35 scemd: scemd.c:413 stop manutild. merci encore, 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
guettaseb Posté(e) le 21 septembre 2012 Auteur Partager Posté(e) le 21 septembre 2012 J'ai installé le le package syslog server, configuré mon client pour qu'il s’envoi lui même les logs, le test depuis le webadmin fonctionne. y a t'il moyen de dire au SSH d'envoyer sur 127.0.0.1:514 ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
guettaseb Posté(e) le 21 septembre 2012 Auteur Partager Posté(e) le 21 septembre 2012 (modifié) Bon c'est good, j'ai bien les niveau de log debug et info dans messages. ! J'avais mal interprété le fichier syslog.deny ! Une fois les lignes commentées c'est bon ! Par contre même question, est-il possible de loguer tous type de connexions (SSH, HTTP, FTP, ...) dans le syslog serveur ? J'ai modifié la variable ${syslogd_program:-/sbin/syslogd} ${syslogd_flags:--m 0} du fichier /etc/rc en ${syslogd_program:-/sbin/syslogd} ${syslogd_flags:--m 0 -L -R 127.0.0.1} mais c'est pas mieux, je n'ai rien dans le serveur syslog... Modifié le 21 septembre 2012 par guettaseb 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
CoolRaoul Posté(e) le 21 septembre 2012 Partager Posté(e) le 21 septembre 2012 J'avais mal interprété le fichier syslog.deny ! Une fois les lignes commentées c'est bon ! Piege classique : faut comprendre que "deny" = inhibé, donc les lignes non commentées ont pour effet de filtrer les niveaux de log correspondants. Par contre même question, est-il possible de loguer tous type de connexions (SSH, HTTP, FTP, ...) dans le syslog serveur ? Chaque application a sa methode, par exemple pour apache (http) tu peux logger les erreurs vers syslog avec une clause du genre ErrorLog <facility>:<level> exemple ErrorLog syslog:local7[/code] à mettre dans la config apache (/usr/syno/apache/conf/httpd.conf-user ou un fichier à faire includre par ce dernier) Malheureusement, me semble bien que cela ne parche que pour l'error log pas pour l'access log 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
guettaseb Posté(e) le 23 septembre 2012 Auteur Partager Posté(e) le 23 septembre 2012 Je te remercie !!! Je vais tester tout ça ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.