[+] SSH i brak wpisów do pliku /var/log/lastlog

r0ster · Post autor: **r0ster** » 18 września 2011, 21:27

Potwierdzam, mam identyczne informacje w pliku /var/log/auth.log, ale do pliku /var/log/lastlog nic się nie zapisało?

markossx · Post autor: **markossx** » 19 września 2011, 07:36

Raczej zapisuje tylko jest nieczytelny. Informacje wyciągniesz z niego za pomocą polecenia lastlog. Żeby się przekonać na 100%, zaloguj się na ten system i potem sprawdź:

Kod: Zaznacz cały

ls -lt w /var/log

Data i czas lastlog powinny być zgodne z auth.log.

r0ster · Post autor: **r0ster** » 19 września 2011, 09:37

Niestety. Po wydaniu polecenia:

Kod: Zaznacz cały

ssh user@host 'ls -lt /var/log/lastlog /var/log/auth.log'

otrzymuję taki wynik:

Kod: Zaznacz cały

-rw-r----- 1 root adm   535559 09-19 09:35 /var/log/auth.log
-rw-rw-r-- 1 root utmp 3638028 09-19 09:25 /var/log/lastlog

Informacje do auth.log są zapisywane, a do lastloga już nie.

markossx · Post autor: **markossx** » 19 września 2011, 09:55

Sam się zacząłem nieco motać ale moim zdaniem dobrze jest. Zagłęb się, co się gdzie loguje - może Cię to uspokoi

r0ster · Post autor: **r0ster** » 19 września 2011, 12:19

Dziękuję za pomoc. Kiedy mi napisałeś o pliku /var/log/auth.log znalazłem, że lastlog nie jest kontrolowany przez syslog, tylko przez moduł pam_lastlog.so. Dodałem do pliku /etc/pam.d/sshd poniższy wpis:

Kod: Zaznacz cały

session    optional   pam_lastlog.so silent

Teraz użytkownik jest zawsze zapisywany do pliku lastlog, nawet w trybie "nieinteraktywnym".

markossx · Post autor: **markossx** » 19 września 2011, 13:12

Miło się pomaga takim ludziom, pozdrawiam.