Ubuntu-​Server mit leerer auth.log Datei

Von in linux

Bei mei­ner wöchent­li­chen Ser­ver­war­tung habe ich durch Zufall bemerkt, dass die Log-​Datei auth.log mit 0Byte auf­ge­lis­tet wird. Durch stän­di­ge Angrif­fe aus dem Inter­net, mit denen jeder Ser­ver kon­fron­tiert wird, ist die­se Datei aber übli­cher­wei­se mit Ein­trä­gen gut gefüllt. Ich möch­te hier zei­gen, war­um man bei der lee­ren Datei nicht gleich an eine frem­de Über­nah­me des Ser­vers den­ken muss und vor allem wie man das Sys­tem dazu über­re­det, Zugrif­fe wie­der kor­rekt zu pro­to­kol­lie­ren.

Zuerst über­zeugt man sich davon, dass jener Dienst, der die Ver­bin­dungs­ver­su­che auf­zeich­nen soll­te, auch tat­säch­lich läuft:

user@pc:/$ ps -ef | grep '[r]syslogd'

Die Wahr­schein­lich­keit ist groß, dass sich ein lau­fen­der Pro­zess rsys­logd fin­det.
Als Nächs­tes soll­te man einen Blick in fol­gen­den Ord­ner wer­fen:

user@pc:/$ cd /var

Wenn sich dort das File logauth.log fin­det, ist die Sach­la­ge son­nen­klar. Der Dae­mon, der das Pro­to­koll in das File

/var/log/auth.log

spei­chern soll­te, ver­sieht dies in der Datei

/var/logauth.log

Wenn man sich den /​var-​Ordner näher ansieht, wird man auch die erwar­te­ten archi­vier­ten und kom­pri­mier­ten Files von rsys­logd fin­den.

Wer genüg­sam ist, kann die­sen Zustand so belas­sen. Es pas­siert nichts Schlim­mes, wenn der Dienst sei­ne Pro­to­kol­le an einer ande­ren Stel­le spei­chert. Theo­re­tisch kann man die Log-​Dateien an jedem belie­bi­gen Ort erstel­len las­sen, so lan­ge die Zugriffs­rech­te stim­men. Inter­es­sant wird es ledig­lich, wenn man die Log-​Files maschi­nell aus­le­sen möch­te und die dafür ver­wen­de­ten Diens­te die Files an ande­rer Stel­le erwar­ten. Als Bei­spiel nen­ne ich denyhosts, das auth.log ana­ly­siert, um Brute-​Force-​Angreifer zu blo­cken. Ent­we­der stellt man dann denyhosts dem­entspre­chend ein, oder man hält sein Sys­tem sau­ber und berich­tigt rsys­log.

Dazu muss man ledig­lich fol­gen­des File anpas­sen *)

user@pc:/$ vim /etc/syslog.conf

Hier fin­det sich schließ­lich der Ein­trag der erklärt, war­um der Dae­mon das File falsch abspei­chert. Und mög­li­cher­wei­se gleich wei­te­re fal­sche Pfa­de für ande­re Pro­to­koll­da­tei­en.

Wenn man hier Ände­run­gen vor­nimmt darf man nicht ver­ges­sen, nach dem Spei­chern den Dae­mon neu zu star­ten.

user@pc:/$ /etc/init.d/sysklogd restart

*) Wenn sich unter ange­ge­be­nem Pfad kei­ne Datei syslog.conf fin­det, wird wahr­schein­lich eine neue­re Ubuntu-​Version als 8.04 ver­wen­det. Dann wür­de man unter /etc/rsyslog.d/ fün­dig. Mei­nes Wis­sens tritt das hier beschrie­be­ne Pro­blem aber nur, durch einen Template-​Fehler ver­ur­sacht, in der Ver­si­on 8.04 auf.

Share on LinkedInShare on Redditshare on TumblrShare on StumbleUponDigg thisShare on FacebookGoogle+Tweet about this on TwitterEmail to someone