Я получаю сообщение об ошибке ниже из моих /var/adm/messages (или syslog)

Aug 28 19:11:21 myhost sshd[25570]: [ID 800047 auth.info] Keyboard-interactive (PAM) userauth failed[9] while authenticating: Authentication failed

Aug 28 19:12:50 myhost sshd[25570]: [ID 800047 auth.crit] fatal: Read from socket failed: Connection reset by peer
  1. Кто на самом деле пытается SSH к серверу? Почему нет имени пользователя или имени терминала?
  2. Является ли 25570 идентификатором процесса? Можем ли мы получить больше информации о процессе?
  3. Что должно быть сделано дальше?
|источник

1 ответ1

0

  1. Мы не можем сказать, кто пытается подключиться, потому что вы не предоставляете достаточно данных журнала. Это может быть потому, что вы не получаете достаточно данных журнала, потенциально. Чтобы увеличить ваши журналы: ключевое слово LogLevel в /etc/ssh/sshd_config позволяет вам контролировать, насколько многословны логи, которые генерирует демон ssh, и средство "auth" в /etc/syslog.conf или /etc/rsyslog.conf позволяет Вы контролируете, какой уровень записи вы хотите записать.

  2. Да, 25570 - это идентификатор процесса. Это идентификатор процесса конкретного экземпляра sshd который был создан для обработки этого соединения, и время жизни процесса будет таким же, как и время жизни соединения. Основное значение этого заключается в том, что при просмотре журналов он позволяет отличить этот экземпляр от всех других сеансов входа на сервер.

  3. Что следует сделать дальше, это увеличить параметры ведения журнала везде, где вы можете. Убедитесь, что демон SSH регистрирует на самом высоком уровне, убедитесь, что системный журнал записывает все детали, которые передаются ему демоном SSH, проверьте, есть ли у каких-либо соответствующих модулей PAM дополнительные параметры расширенного ведения журнала, которые можно применять. и продолжайте отслеживать ваши логи.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .