Möglicherweise möchten Sie die Manpage openssh – sshd_config lesen
http://www.openbsd.org/cgi-bin/man.cgi?query=sshd_config&sektion=5 Möglicherweise finden Sie
auch die Dokumentation der kommerziellen Version von Tectia nützlich:
http://www.ssh.com/support/documentation/online/ssh/adminguide-zos/52/Configuring_Logging_in_sshd2.html
* LogLevel * – Wie ausführlich oder gesprächig soll es sein? Die möglichen
-Werte sind: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 und
DEBUG3. Der Standardwert ist INFO. DEBUG und DEBUG1 sind äquivalent. DEBUG2 und
DEBUG3 geben jeweils höhere Ebenen der Debugging-Ausgabe an.
*SyslogFacility* – Gibt den Facility-Code an, der beim Protokollieren von
Nachrichten von sshd verwendet wird. Die möglichen Werte sind: DAEMON, USER, AUTH,
LOCAL0, LOCAL1, LOCAL2, LOCAL3, LOCAL4, LOCAL5, LOCAL6, LOCAL7. Der Standardwert
ist AUTH. Um dies auf der Info-Ebene mit der Auth-Funktion einzurichten, müssen Sie
/etc/syslog.conf ändern:
auth.info /var/log/auth
Möglicherweise müssen Sie /var/log/auth berühren und die Berechtigungen ändern, damit syslog
darauf schreiben kann, wenn es als anderer Benutzer als root ausgeführt wird – z. B. logger.
Nachdem Sie diese Änderungen vorgenommen haben, müssen Sie sshd und die Syslog-Daemons anhalten und
neu starten.
Sie können mit verschiedenen Protokollebenen auf einem Testsystem spielen (ausprobieren), um
zu validieren, wie viele Informationen Sie erfassen müssen, und sicherzustellen, dass Sie die Protokolle
vor skrupellosen Schnüfflern schützen, insbesondere wenn sie private Informationen
wie Benutzer / Pass–Kombinationen enthalten, die niemand auf Ihrem Server lesen kann
– könnte zu Datenschutz-, Sicherheits- oder sogar Rechtsverletzungen werden, wenn
sie in die falschen Hände geraten. Sie sollten die Ausgabe isolieren, damit sie
nicht mit anderen Protokollen vermischt, insbesondere wenn Datenschutz- oder Sicherheitsbedenken
auftreten, wenn die Datei in die falschen Hände geraten ist.
Sie sollten ein logadm- oder log Rotate-Skript verwenden, da andere
bereitgestellt haben, um die Dateien klein zu halten und routinemäßig zu drehen. Möglicherweise möchten Sie auch, dass
ältere Protokolldateien auf einen anderen Server mit stark eingeschränktem Zugriff verschiebt, um
den Inhalt zu schützen.
Douglas Pavey
Sr Unix Administrator
