Logs SSH n'affichent pas les erreurs de connexion

Tags: #<Tag:0x00007fb4292fc878>

Bonjour,

J’ai un souci sur mon VPS qui tourne sous debian 12. Les fichiers de log SSH n’affichent que les connexions SSH réussies.

Si je tente de me connecter avec un mauvais mdp ou un mauvais port il n’y a rien qui s’affiche quand je fais un journalctl -u ssh.service ou un ‹ cat /var/log/auth.log › alors que ces fichiers sont bien alimentés quand j’arrive à me connecter.

Les autres sujets que j’ai lu parlait de /var/log/secure mais ce fichier n’existe pas chez moi.

J’ai également essayé d’aller dans /etc/ssh/sshd_config et de mettre en LogLevel VERBOSE mais sans succès.

Vu l’absence de logs j’ai du mal à savoir vers où aiguiller mes recherches.

J’ai juste trouvé ce sujet de 2016 qui correspond à mon sujet et j’ai également changer le hostname de mon serveur mais il me semble qu’il n’a pas non plus trouvé de véritable solution.

Si vous avez des pistes à creuser.

En vous remerciant par avance

Bonjour,

Un fil de discussion de 2016, en 2024 c’est un peu ancien :wink:

Pour être que tous les logs soient bien sur le disque, le storage persistent est la bonne option pour journald.
Si ton /var/log se démonte mal c’est qu’il est démonté avant que le flush des logs soit terminé.

Bonjour,

Merci pour ta réponse, en effet j’aurais aimé trouver plus récent :stuck_out_tongue: C’est vrai que je n’aurais pas du le link non plus, il n’est pas complètement à propos.

je viens de remarquer que je n’avais pas respécifié mais ce sont bien les fichiers de logs SSH qui posent problème. J’ai bien dans le journalctl des lignes qui me disent :

‹ sshd[1561]: Accepted publickey for xxx from xxx.xxx.xxx.xxx … ›

quand je me connecte par contre quand je fais volontairement des erreurs sur le port ou le mdp je n’ai plus les lignes qui me disent ‹ failed attempt from USER xxx.xxx.xxx.xxx › et c’est genant pour les outils comme fail2ban ou reaction.

Ils ne m’écrit que la moitié des logs et je ne crois pas avoir dit quelquepart « ne log pas les connexions en erreur ».

C’est ça mon problème, je n’ai pas essayé de démonter le /var/log

Tu as regardé dans journalctl ?

sudo journalctl _COMM=sshd ?

Bonjour,

non je n’avais pas regardé et en effet tout y est je vois des dizaines et dizaines d’ips qui vont se faire bannir ! Merci beaucoup pour ton aide.

Est ce que tu sais pourquoi les erreurs se retrouvent là et pas dans le journalctl -u ssh.service ? Dans tous les cas merci beaucoup je vais pouvoir faire ce que je voulais :slight_smile:

en termes de sécurité, on utilise pas le port 22 pour SSH sur Internet à moins de vouloir passer son temps à bannir des IPs, sans compter qu’un jour on peut se faire pirater.

En effet je suis bien d’accord, et je l’ai changé et j’ai disable le login avec root. Mais je prefere ne pas compter que sur l’obscurité pour sécuriser mon vps, bannir preventivement via reaction les adresses qui tentent de se connecter un peu trop de fois me semble être un bon ajout.

Merci du conseil en tout cas, c’est sur que c’est un point important

Il faut faire attention au fail2ban sur internet. On peut facilement te faire un DDoS avec. Il suffit d’envoyer des requêtes forgées sur l’adresse source.