咨询关于/var/log/message问题

linuxtoy

回复 10# jerryjzm

非常感谢你的回答，不好意思，今天才回




[root@redhat1 ~]# more /etc/syslog.conf   | grep -v "#"

authpriv.none;cron.none         /var/log/messages

authpriv.*              /var/log/secure

mail.*          -/var/log/maillog


cron.*          /var/log/cron

*.emerg         *

uucp,news.crit          /var/log/spooler

local7.*                /var/log/boot.log
*.info;mail.none;local1.none;local3.none;local4.none;local5.none                /var/log/messages
local1.debug            /var/log/wcltoday.log
local2.*                /var/log/RHCS.log



[root@redhat1 ~]# more /etc/pam.d/sshd
#%PAM-1.0
auth       required     pam_stack.so service=system-auth
auth       required     pam_nologin.so
account    required     pam_stack.so service=system-auth
password   required     pam_stack.so service=system-auth
session    required     pam_stack.so service=system-auth
session    required     pam_loginuid.so


messages  log就是楼上的那些log



secure log

Mar 15 14:39:51 redhat1 sshd[5566]: Accepted password for kavte from ::ffff:192.168.1.1 port 1026 ssh2







你所说的“手动登陆”你用putty等工具远程ssh，
还是在机器上连接键盘显示器登陆？

远程登录的，用工具

如果是远程，那你的机器的ip是192.168.1.1吗？  连接rhel服务器用的是test用户吗？

嗯，但是user是  kavte

Mar 11 14:06:05 redhat1 sshd(pam_unix)[23188]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.1  user=kavte

jerryjzm

你没有说发现版！

你以上的内容“...redhat1 sshd(pam_unix)[23188]..."都是你在登录环节
使用如下命令
ldd /usr/sbin/sshd|grep libpam
可行都是用pam进行认证。
这些认证的日志信息是保存在 /var/log/message中，有些时候是保存在/var/log/secure，这个都是syslog.conf的配置来定。

但是你在1楼和7楼的回复中的信息让人奇怪
1楼
sshd(pam_unix)[1920]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.1  user=test

7楼
Mar 11 14:06:05 redhat1 sshd(pam_unix)[23188]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.1  user=kavte

尽管没有时间戳。但是可以看出在一楼 在192.168.1.1的机器上用test尝试用ssh登录了。
在7楼上，在192.168.1.1的机器上用kavte尝试用ssh登录了。

问题：
1.192.168.1.1是个任何人都能接触的机器吗？
2.系统中有test这个用户吗？kavte肯定是你，对吧

linuxtoy

不好意思，上面两个用户都是我的，因为权限都一样，没注意到这点
呵呵，还是你细心

上面的log肯定都是我所操作生成的
         ldd /usr/sbin/sshd|grep libpam
        libpam.so.0 => /lib64/libpam.so.0 (0x0000002a95776000)

版本号： Red Hat Enterprise Linux AS release 4 (Nahant Update  8  )

jerryjzm

呵呵，问题基本清楚，只是你ssh连接系统时，输入的对应账号的密码错误，才会有 形如以下内容
sshd(pam_unix)[1920]: authentication failure;
其他的都是正常的日志。

linuxtoy

似乎不是这样的
有个点我刚测试了下
我用普通账号登会出这个提示

用root登却不会出现这个提示，两次登录源终端和目的终端都一样

唯一一点不同的是 root 是本地系统管理的账户
其他账户都是通过LDAP 数据库进行管理的账户

jerryjzm

似乎不是这样的
有个点我刚测试了下
我用普通账号登会出这个提示

用root登却不会出现这个提示，两次登 ...
linuxtoy 发表于 2011-03-16 16:23

呵呵，系统日志不会错的，多了解一下 pam中的那些模块就知道了

linuxtoy

谢谢。。。呵呵
我密码没输错也会出现这个错误log？