Logs SSH n'affichent pas les erreurs de connexion

pyche · Juin 7, 2024, 5:15pm

Bonjour,

J’ai un souci sur mon VPS qui tourne sous debian 12. Les fichiers de log SSH n’affichent que les connexions SSH réussies.

Si je tente de me connecter avec un mauvais mdp ou un mauvais port il n’y a rien qui s’affiche quand je fais un journalctl -u ssh.service ou un ‹ cat /var/log/auth.log › alors que ces fichiers sont bien alimentés quand j’arrive à me connecter.

Les autres sujets que j’ai lu parlait de /var/log/secure mais ce fichier n’existe pas chez moi.

J’ai également essayé d’aller dans /etc/ssh/sshd_config et de mettre en LogLevel VERBOSE mais sans succès.

Vu l’absence de logs j’ai du mal à savoir vers où aiguiller mes recherches.

J’ai juste trouvé ce sujet de 2016 qui correspond à mon sujet et j’ai également changer le hostname de mon serveur mais il me semble qu’il n’a pas non plus trouvé de véritable solution.

Si vous avez des pistes à creuser.

En vous remerciant par avance

Zargos · Juin 7, 2024, 4:56pm

Bonjour,

Un fil de discussion de 2016, en 2024 c’est un peu ancien

Pour être que tous les logs soient bien sur le disque, le storage persistent est la bonne option pour journald.
Si ton /var/log se démonte mal c’est qu’il est démonté avant que le flush des logs soit terminé.

pyche · Juin 7, 2024, 5:34pm

Bonjour,

Merci pour ta réponse, en effet j’aurais aimé trouver plus récent C’est vrai que je n’aurais pas du le link non plus, il n’est pas complètement à propos.

je viens de remarquer que je n’avais pas respécifié mais ce sont bien les fichiers de logs SSH qui posent problème. J’ai bien dans le journalctl des lignes qui me disent :

‹ sshd[1561]: Accepted publickey for xxx from xxx.xxx.xxx.xxx … ›

quand je me connecte par contre quand je fais volontairement des erreurs sur le port ou le mdp je n’ai plus les lignes qui me disent ‹ failed attempt from USER xxx.xxx.xxx.xxx › et c’est genant pour les outils comme fail2ban ou reaction.

Ils ne m’écrit que la moitié des logs et je ne crois pas avoir dit quelquepart « ne log pas les connexions en erreur ».

C’est ça mon problème, je n’ai pas essayé de démonter le /var/log

pled · Juin 9, 2024, 4:52pm

Tu as regardé dans journalctl ?

sudo journalctl _COMM=sshd ?

pyche · Juin 9, 2024, 4:56pm

Bonjour,

non je n’avais pas regardé et en effet tout y est je vois des dizaines et dizaines d’ips qui vont se faire bannir ! Merci beaucoup pour ton aide.

Est ce que tu sais pourquoi les erreurs se retrouvent là et pas dans le journalctl -u ssh.service ? Dans tous les cas merci beaucoup je vais pouvoir faire ce que je voulais

Zargos · Juin 10, 2024, 12:44am

en termes de sécurité, on utilise pas le port 22 pour SSH sur Internet à moins de vouloir passer son temps à bannir des IPs, sans compter qu’un jour on peut se faire pirater.

pyche · Juin 10, 2024, 8:00am

En effet je suis bien d’accord, et je l’ai changé et j’ai disable le login avec root. Mais je prefere ne pas compter que sur l’obscurité pour sécuriser mon vps, bannir preventivement via reaction les adresses qui tentent de se connecter un peu trop de fois me semble être un bon ajout.

Merci du conseil en tout cas, c’est sur que c’est un point important

Zargos · Juin 10, 2024, 8:14am

Il faut faire attention au fail2ban sur internet. On peut facilement te faire un DDoS avec. Il suffit d’envoyer des requêtes forgées sur l’adresse source.