[ mr. ako @ 12.11.2012. 03:46 ] @
Zasto mi ne prikazuje IP adrese za korisnike koji pristupaju preko sftp-a (za ssh prikazuje IP adrese najnormalnije), kada kucam last -ad komandu?
Npr. za sve ftp pristupe mi prikazuje 0.0.0.0 kao IP, tj. za last -a prikazuje :pts/0:S.0. Dok na tom mestu za direktno logovanje preko ssh-a ispisuje IP najnormalnije.
Ako ima veze, serveru sam stavio da vrsi autentifikaciju preko public/private key i promenio default port za ssh.

[ niceness @ 12.11.2012. 08:47 ] @
Kod mene (na fedori 16) sshd cak ne upisuje nista u wtmp ako nije login vec je zatrazen sftp subsystem ili je u pitanju scp.
Pogledaj man sshd, pod LOGIN PROCESS.
U syslogu se naravno zapisuje ko se kad ulogovao (po defaultu /var/log/secure na redhat-olikim, valjda /var/log/auth na debian-olikim dist.)
[ Miroslav Strugarevic @ 12.11.2012. 12:06 ] @
Pogledaj http://www.manpagez.com/man/8/sftp-server/

Code:
sftp-server [-ehR] [-f log_facility] [-l log_level] [-u umask]
[ Miroslav Strugarevic @ 12.11.2012. 12:20 ] @
Izmeni u /etc/ssh/sshd_config

Code:
Subsystem       sftp    /usr/libexec/openssh/sftp-server -l INFO

tail -f /var/log/messages

Code:
[[email protected] ~]# tail -n 15 /var/log/messages
Nov 12 13:17:00 iscsi sftp-server[1563]: session opened for local user root from [192.168.0.153]
Nov 12 13:17:00 iscsi sftp-server[1563]: opendir "/root"
Nov 12 13:17:00 iscsi sftp-server[1563]: closedir "/root"
Nov 12 13:17:09 iscsi sftp-server[1563]: opendir "/"
Nov 12 13:17:09 iscsi sftp-server[1563]: closedir "/"
Nov 12 13:17:12 iscsi sftp-server[1563]: opendir "/tmp"
Nov 12 13:17:12 iscsi sftp-server[1563]: closedir "/tmp"
Nov 12 13:17:14 iscsi sftp-server[1563]: sent status No such file
Nov 12 13:17:14 iscsi sftp-server[1563]: sent status No such file
Nov 12 13:17:14 iscsi sftp-server[1563]: open "/tmp/uplata.jpg.filepart" flags WRITE,CREATE,TRUNCATE mode 0666
Nov 12 13:17:14 iscsi sftp-server[1563]: close "/tmp/uplata.jpg.filepart" bytes read 0 written 475649
Nov 12 13:17:14 iscsi sftp-server[1563]: rename old "/tmp/uplata.jpg.filepart" new "/tmp/uplata.jpg"
Nov 12 13:17:14 iscsi sftp-server[1563]: set "/tmp/uplata.jpg" modtime 20121110-19:51:24
Nov 12 13:17:14 iscsi sftp-server[1563]: opendir "/tmp"
Nov 12 13:17:14 iscsi sftp-server[1563]: closedir "/tmp"

p.s. Mislim da se sftp ne moze logovati u utmp. Nadam se da ti je ovo dovoljno?

[Ovu poruku je menjao Miroslav Strugarevic dana 12.11.2012. u 13:31 GMT+1]
[ mr. ako @ 13.11.2012. 01:01 ] @
U /etc/ssh/sshd_config sam vec imao tu liniju samo bez -l INFO na kraju:

Code:
Subsystem       sftp    /usr/libexec/openssh/sftp-server

pa sam dodao -l INFO

Inace, pre ove promene u
nano /var/log/messages
nije bilo nicega osim ntpd logova i izlgedao je ovako:
Code:

Nov 11 05:30:01 server ntpd[25161]: ntpd [email protected] Tue Nov 29 00:09:12 UTC 2011 (1)
Nov 11 05:30:01 server ntpd[25161]: precision = 2.124 usec
Nov 11 05:30:01 server ntpd[25161]: Listening on interface #0 wildcard, 0.0.0.0#123 Disabled
Nov 11 05:30:01 server ntpd[25161]: Listening on interface #1 wildcard, ::#123 Disabled
Nov 11 05:30:01 server ntpd[25161]: Listening on interface #2 lo, ::1#123 Enabled
Nov 11 05:30:01 server ntpd[25161]: Listening on interface #3 eth0, YYYY::YYYY:YYYY:YYYY#123 Enabled
Nov 11 05:30:01 server ntpd[25161]: Listening on interface #4 lo, 127.0.0.1#123 Enabled
Nov 11 05:30:01 server ntpd[25161]: Listening on interface #5 eth0, xxx.xxx.xxx.xxx#123 Enabled
Nov 11 05:30:01 server ntpd[25161]: Listening on routing socket on fd #22 for interface updates
Nov 11 05:30:01 server ntpd[25161]: kernel time sync status 2040
Nov 11 05:30:04 server ntpd_initres[25162]: host name not found: ntp.server.com
Nov 11 05:30:09 server ntpd[25161]: synchronized to xxx.xxx.xxx.xxx, stratum 1
Nov 11 05:30:09 server ntpd[25161]: time reset -0.225949 s
Nov 11 05:30:09 server ntpd_initres[25162]: parent died before we finished, exiting


a sada sam restartovao sshd i loguje sftp, ali nema ssh logova recimo...
Code:

Nov 12 18:58:00 server sftp-server[19711]: session opened for local user username from [xxx.xxx.xxx.xxx]
Nov 12 18:58:01 server sftp-server[19711]: opendir "/home/username"
Nov 12 18:58:02 server sftp-server[19711]: closedir "/home/username"



Inace, znam da je server radio ovo sto rece niceness, u /var/log/secure je logovao i ssh i sftp, cak i pre nego sto sam dodao ovo -l INFO.






No, problem ostaje i dalje, za last -ad ne prikazuje IP adrese za sftp logovanja.

[ Miroslav Strugarevic @ 13.11.2012. 01:09 ] @
ssh logovi su po defaultu u /var/log/secure.

Ako hoces da ti sve loguje u /var/log/secure dodaj ovo

Code:
Subsystem       sftp    /usr/libexec/openssh/sftp-server -f AUTHPRIV -l INFO


Sto se tice last komande ne znam da li je i kako je moguce to podesiti.
[ niceness @ 13.11.2012. 07:58 ] @
Meni je cudno sto ti last uopste pokazuje da je bio sftp login.
Ako nije interaktivni login ne bi trebalo nista biti zapisano u utmp/wtmp...
[ mr. ako @ 13.11.2012. 21:58 ] @

Hmmm, nevezano za ovo sve, gledam ove logove /var/log/secure i /var/log/messages i nemaju stariji entry od pre par dana...?!?! Jel to znaci da ih je "neko" ocistio? Gde se podesava cuvanje logova?



Btw, sta je taj AUTHPRIV, vidim da ga nema ovde:
Citat:
-f log_facility
Specifies the facility code that is used when logging messages
from sftp-server. The possible values are: DAEMON, USER, AUTH,
LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7.
The default is AUTH.


[ maksvel @ 13.11.2012. 22:26 ] @
Citat:
Hmmm, nevezano za ovo sve, gledam ove logove /var/log/secure i /var/log/messages i nemaju stariji entry od pre par dana...?!?! Jel to znaci da ih je "neko" ocistio? Gde se podesava cuvanje logova?

Radi rotacija logova, stari se arhiviraju periodi─Źno.
Ima o tome npr. ovde: http://www.ducea.com/2006/06/0...linux-log-files-part-1-syslog/
[ mr. ako @ 14.11.2012. 02:22 ] @
^ OK, hvala, pogledacu sutra.






Nego bih da rasteretim malo /var/log/messages pa me interesuje kako da izbacim ntpd logovanje odatle? Da taj cron posaljem u dev null ili ima neko elegantnije resenje?
[ niceness @ 14.11.2012. 09:34 ] @
Ako samo hoces da ntpd log ide u drugi fajl: http://blog.stalkr.net/2009/10...rtd-messages-with-rsyslog.html
[ Miroslav Strugarevic @ 14.11.2012. 12:56 ] @
Citat:
mr. ako:

Hmmm, nevezano za ovo sve, gledam ove logove /var/log/secure i /var/log/messages i nemaju stariji entry od pre par dana...?!?! Jel to znaci da ih je "neko" ocistio? Gde se podesava cuvanje logova?



Btw, sta je taj AUTHPRIV, vidim da ga nema ovde:
Citat:
-f log_facility
Specifies the facility code that is used when logging messages
from sftp-server. The possible values are: DAEMON, USER, AUTH,
LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7.
The default is AUTH.




http://en.wikipedia.org/wiki/Syslog
[ mr. ako @ 25.11.2012. 03:09 ] @
Citat:
maksvel:
Radi rotacija logova, stari se arhiviraju periodi─Źno.
Ima o tome npr. ovde: http://www.ducea.com/2006/06/0...linux-log-files-part-1-syslog/
U ovom CentOS-u nije bilo Syslog config fajla, pa sam podesio u logrotate config fajlu da cuva dosta duze i rotira redje.



Citat:
niceness:
Ako samo hoces da ntpd log ide u drugi fajl: http://blog.stalkr.net/2009/10...rtd-messages-with-rsyslog.html
Ako sam dobro razumeo u rsyslog.conf sam trebao da dodam:

#Log ntpd messages to ntpd.log
programname, isequal, "ntpd" -/var/log/ntpd.log

Hoce li tako sljakati? Uostalom, videcu za koji dan kakav je log. :)



Na linku nema objasnjenja sta je tacno authpriv, jer isto pise i za auth "4 auth security/authorization messages", ali za "-f log_facility" pise "The default is AUTH." pa me interesovalo sto si predlozio AUTHPRIV u poruci iznad... No, nije ni bitno, samo sam usput pitao.

[ niceness @ 25.11.2012. 13:58 ] @
Citat:
Ako sam dobro razumeo u rsyslog.conf sam trebao da dodam:

#Log ntpd messages to ntpd.log
programname, isequal, "ntpd" -/var/log/ntpd.log

Hoce li tako sljakati? Uostalom, videcu za koji dan kakav je log. :)

Najbolje da stavis kako pise na sajtu npr.:
Code:
$ cat /etc/rsyslog.d/ntpd.conf
:programname, isequal, "ntpd" -/var/log/ntpd.log
& ~
Obrati paznju na drugi red (& -) ... ako to izostavis onda ce log zavrsisti i u ntpd.log i u messages.
Ako bas hoces da stoji u rsyslog.conf novo pravilo stavi iznad linije *.info;mail.none;authpriv.none;cron.none /var/log/messages.

Za rotaciju ntpd loga stavi odgovarajuci fajl u /etc/logrotate.d/. Primer http://humanreadable.nfshost.com/files/ntp.
U komentarima je objasnjeno zasto su koristili bas te komande.
[ mr. ako @ 25.11.2012. 19:50 ] @
Ok, onda nisam dobro uradio, prepravio sam.
Kreirao novi fajl:
/etc/rsyslog.d/ntpd.conf

Code:
:programname, isequal, "ntpd" -/var/log/ntpd.log
& ~

A za logrotate sam stavio:

/etc/logrotate.d/ntpd

Code:
# /etc/logrotate.d/ntpd
# logrotate configuration file for ntpd

/var/log/ntpd.log {
  nocreate
  copytruncate
}



[ mr. ako @ 21.12.2012. 18:42 ] @
Ovo ne radi ili ja nisam nesto dobro podesio... i dalje mi ntpd loguje u /var/log/messages.