sonnenblen.de - Das unabhängige Sun User Forum

Betriebssysteme => Solaris/x86 und OpenSolaris => Thema gestartet von: richi am 31. Januar 2007, 15:26:43

Titel: Protokollierung ssh im messages
Beitrag von: richi am 31. Januar 2007, 15:26:43

Hallo Leute

Beschäftige mich schon seit 5 Jahren mit Suse Linux, bin jedoch Solaris Anfänger. Beschäftige mich gerade mit Solaris 10 in einer VMWare umgebung.
Meine Fragen:

1 Wenn ich mich auf einem Linux System über ssh einlogge, wird das in der /var/log/messages protokolliert. Bei solaris habe ich in der /var/adm/messages nichts gefunden. Wo muss ich das aktivieren.
Was ist eigentlich der unterschied zwischen /var/adm und /var/log

2 Ich wollte die auditfunktion bei Solaris aktivieren. Leider bekam ich dabei eine Fehlermeldung.  Meine vorgehensweise
svcadm enable svc:/system/auditd:default
Der Service geht dann auf maintainance, außerdem ist im /var/svc/log/system-auditd folgende Fehlermeldung.
Executing start method ("/lib/svc/method/svc-auditd")
Method "start" exited with status 98
Was habe ich hier Falsch gemacht?

Grüsse
Richard

Titel: Re: Protokollierung ssh im messages
Beitrag von: signal_15 am 31. Januar 2007, 16:23:39

Hi,

ich habe folgendes bei mir in der '/etc/syslog.conf' stehen.

Code: [Auswählen]

*.debug /var/adm/messages
auth.debug      /var/adm/auth

alles ab 'debug' und hoeher geht richtung /var/adm/messages
auth ab 'debug' und hoeher geht nochmal richtung /var/adm/messages

ct,

Titel: Re: Protokollierung ssh im messages
Beitrag von: Drusus am 31. Januar 2007, 17:30:43

Moin,

zu 1): der sshd logged seine Informationen mit auth.info bzw. auth.debug. In der Default-Installation von Solaris werden diese Meldungen nicht vom syslogd in einer Datei festgehalten. Ergo musst du die /etc/syslog.conf derart anpassen, dass du auth.debug (oder auth.info - je nachdem wie viel Messages du sehen moechtest) irgendo hinschreibst. Im einfachsten Fall am Ende ein "auth.debug /var/adm/messages" (wobei das mit einem TAB und nicht mit Space getrennt sein muss) und einmal ein "pkill -HUP syslogd" (oder "svcadm refresh system-log").
Der Unterschied zwischen /var/adm und /var/log ist eher historisch (in /var/adm sollten systemnahe Logs rein und in /var/log der Rest, also z.B. Applikationslogs).

zu 2): um Auditing erstmalig zu aktivieren ist eine Aenderung in der /etc/system mit nachfolgendem Reboot notwendig. Hierzu dient der Befehl "/etc/security/bsmconv" (siehe "man bsmconv"). Zusaetzlich musst du dann noch die Konfiguration deinen Beduerfnissen anpassen (also insbesondere audit_startup, audit_control und audit_user in /etc/security/). Siehe http://docs.sun.com/app/docs/doc/816-4557/6maosrjog?a=view (http://docs.sun.com/app/docs/doc/816-4557/6maosrjog?a=view) fuer mehr Informationen.
Der Return-Wert 98 ist in "man smf_method" als SMF_EXIT_MON_OFFLINE definiert und im Startup-Script /lib/svc/method/svc-auditd siehst du, dass das passiert, wenn "/usr/sbin/auditconfig -getconf" einen Fehler gibt (d.h. das System wurde nicht fuer Auditing via "bsmconv" vorbereitet).

Tschau,
  Drusus.