Re: Actividad en archivo auth.log
On Wed, Aug 23, 2023 at 3:55 PM Camaleón wrote: > E > Sólo un apunte... en la nueva versión de Debian (12) ha habido cambios > en cómo se gestionan los registros, y son cambios GORDOTES (spoiler: > journalctl fagocita a rsylog): > > 5.1.7. Changes to system logging > > https://www.debian.org/releases/stable/amd64/release-notes/ch-information.en.html#changes-to-system-logging > > Mira si SSHD puede verse afectado. > > Saludos, > Si así es, todo los log se fueron a journalctl, voy a ver si puedo habilitar los log con rsyslog, hay mucha gente quejándose de esa parte en debían 12. > -- > Camaleón > > Slds -- rickygm http://gnuforever.homelinux.com
Re: Actividad en archivo auth.log
El mié, 23 ago 2023 a las 15:18, Roberto C. Sánchez () escribió: > > Ahora me doy cuenta que tu mensaje original indicó «instalación». En mi > caso, el sistema es viejo y ha sido actualizado a bookworm a través de > varias versions anteriores de Debian (desde hace ya muchos años). Si > instalaste el sistema neevo, entonces seguro que todo estará debajo > journalctl y no syslog (como dijo Camaleón). > es correcto , te comento que no simpatizo mucho con journalctl , creo que es el hermano de systemd. -- rickygm http://gnuforever.homelinux.com
Re: Actividad en archivo auth.log
On Wed, Aug 23, 2023 at 11:49:52AM -0400, Rick Gutierrez wrote: > > lo interesante es que si hago un journalctl -u ssh , veo cantidad de > ataques conexiones a mi ssh , pero no lo registra el auth.log > Ahora me doy cuenta que tu mensaje original indicó «instalación». En mi caso, el sistema es viejo y ha sido actualizado a bookworm a través de varias versions anteriores de Debian (desde hace ya muchos años). Si instalaste el sistema neevo, entonces seguro que todo estará debajo journalctl y no syslog (como dijo Camaleón). Saludos, -Roberto -- Roberto C. Sánchez
Re: Después de actualizar no arranca «entorno gráfico» de forma automática
El 2023-08-23 a las 19:04 +0200, aa ag escribió: > Enviar: miércoles 23 de agosto de 2023 a las 17:50 > De: "Camaleón" > Para: debian-user-spanish@lists.debian.org > Asunto: Re: Después de actualizar no arranca «entorno gráfico» de forma > automática > El 2023-08-23 a las 17:18 +0200, aa ag escribió: > >> > Buenas. >> > Pues este es el resultado de ~# grep -e "(EE)" -e "(WW)" /var/log/Xorg.* >> >> ¡Gracias! :-) >> >> > /var/log/Xorg.0.log: (WW) warning, (EE) error, (NI) not implemented, (??) >> > unknown. >> > /var/log/Xorg.0.log:[ 15.181] (WW) The directory >> > "/usr/share/fonts/X11/cyrillic" does not exist. >> > /var/log/Xorg.0.log:[ 15.265] (EE) open /dev/dri/card0: No such file or >> > directory >> > /var/log/Xorg.0.log:[ 15.265] (WW) Falling back to old probe method for >> > modesetting >> > /var/log/Xorg.0.log:[ 15.265] (EE) open /dev/dri/card0: No such file or >> > directory >> > /var/log/Xorg.0.log:[ 15.266] (EE) Unable to find a valid framebuffer >> > device >> > /var/log/Xorg.0.log:[ 15.266] (WW) Falling back to old probe method for >> > fbdev >> > /var/log/Xorg.0.log:[ 15.266] (EE) open /dev/fb0: No such file or directory >> > /var/log/Xorg.0.log:[ 15.266] (EE) Screen 0 deleted because of no matching >> > config section. >> > /var/log/Xorg.0.log:[ 15.266] (EE) Screen 0 deleted because of no matching >> > config section. >> > /var/log/Xorg.0.log:[ 15.266] (EE) Screen 0 deleted because of no matching >> > config section. >> > /var/log/Xorg.0.log:[ 15.287] (WW) VESA(0): Unable to estimate virtual size > >> (...) > >> ¿Puedes subir el archivo completo «/var/log/Xorg.0.log» a pastebin o algún >> sitio similar >> (p. ej., «https://paste.debian.net/»)? >> >> El archivo no contiene datos sensibles, puedes subirlo completo sin >> problemas. > Claro, ahí va: https://paste.debian.net/1289829/ > Gracias y un saludo. Hum... no veo errores PERO algo le pasa a tu servidor gráfico porque *carga el driver VESA* y no creo que sea eso lo que quieras (tampoco debería ser motivo para que no nicie LightDM pero desde luego algo no marcha bien por es aparte), entiendo que tienes un adaptador ATI y deberías cargar el driver libre (RADEON) o el propietario pero no el genérico (framebuffer): [15.264] (II) RADEON: Driver for ATI/AMD Radeon chipsets: (...) [15.265] (II) modesetting: Driver for Modesetting Kernel Drivers: kms [15.265] (II) FBDEV: driver for framebuffer: fbdev [15.265] (II) VESA: driver for VESA chipsets: vesa [15.265] (II) [KMS] drm report modesetting isn't supported. [15.265] (EE) open /dev/dri/card0: No such file or directory [15.265] (WW) Falling back to old probe method for modesetting [15.265] (EE) open /dev/dri/card0: No such file or directory [15.265] (II) Loading sub module "fbdevhw" [15.265] (II) LoadModule: "fbdevhw" [15.265] (II) Loading /usr/lib/xorg/modules/libfbdevhw.so [15.266] (II) Module fbdevhw: vendor="X.Org Foundation" (...) [15.266] (II) UnloadModule: "radeon" [15.266] (EE) Screen 0 deleted because of no matching config section. [15.266] (II) UnloadModule: "modesetting" [15.266] (EE) Screen 0 deleted because of no matching config section. [15.266] (II) UnloadModule: "fbdev" [15.266] (II) UnloadSubModule: "fbdevhw" [15.266] (II) Loading sub module "vbe" [15.266] (II) LoadModule: "vbe" [15.266] (II) Loading /usr/lib/xorg/modules/libint10.so [15.267] (II) Module int10: vendor="X.Org Foundation" [15.267]compiled for 1.21.1.8, module version = 1.0.0 [15.267]ABI class: X.Org Video Driver, version 25.2 [15.267] (II) Loading sub module "int10" [15.267] (II) LoadModule: "int10" [15.268] (II) Loading /usr/lib/xorg/modules/libint10.so [15.268] (II) Module int10: vendor="X.Org Foundation" [15.268]compiled for 1.21.1.8, module version = 1.0.0 [15.268]ABI class: X.Org Video Driver, version 25.2 [15.268] (II) VESA(0): initializing int10 (...) Salvo que quieras cargar el driver VESA por algo en concreto (?) yo intentaría resolver ese problema con el servidor gráfico antes que nada: https://wiki.debian.org/AtiHowTo Saludos, -- Camaleón
Re: Después de actualizar no arranca «entorno gráfico» de forma automática
Claro, ahí va: https://paste.debian.net/1289829/ Gracias y un saludo. Enviar: miércoles 23 de agosto de 2023 a las 17:50 De: "Camaleón" Para: debian-user-spanish@lists.debian.org Asunto: Re: Después de actualizar no arranca «entorno gráfico» de forma automática El 2023-08-23 a las 17:18 +0200, aa ag escribió: > Buenas. > Pues este es el resultado de ~# grep -e "(EE)" -e "(WW)" /var/log/Xorg.* ¡Gracias! :-) > /var/log/Xorg.0.log: (WW) warning, (EE) error, (NI) not implemented, (??) > unknown. > /var/log/Xorg.0.log:[ 15.181] (WW) The directory > "/usr/share/fonts/X11/cyrillic" does not exist. > /var/log/Xorg.0.log:[ 15.265] (EE) open /dev/dri/card0: No such file or > directory > /var/log/Xorg.0.log:[ 15.265] (WW) Falling back to old probe method for > modesetting > /var/log/Xorg.0.log:[ 15.265] (EE) open /dev/dri/card0: No such file or > directory > /var/log/Xorg.0.log:[ 15.266] (EE) Unable to find a valid framebuffer device > /var/log/Xorg.0.log:[ 15.266] (WW) Falling back to old probe method for fbdev > /var/log/Xorg.0.log:[ 15.266] (EE) open /dev/fb0: No such file or directory > /var/log/Xorg.0.log:[ 15.266] (EE) Screen 0 deleted because of no matching > config section. > /var/log/Xorg.0.log:[ 15.266] (EE) Screen 0 deleted because of no matching > config section. > /var/log/Xorg.0.log:[ 15.266] (EE) Screen 0 deleted because of no matching > config section. > /var/log/Xorg.0.log:[ 15.287] (WW) VESA(0): Unable to estimate virtual size (...) ¿Puedes subir el archivo completo «/var/log/Xorg.0.log» a pastebin o algún sitio similar (p. ej., «https://paste.debian.net/»)? El archivo no contiene datos sensibles, puedes subirlo completo sin problemas. Saludos, -- Camaleón
Re: Actividad en archivo auth.log
El mié, 23 ago 2023 a las 9:54, Roberto C. Sánchez () escribió: > > > En auth.log veo una gran cantidad de mensajes parecido a esto: > > 2023-08-23T09:48:32.417117-04:00 build01 sshd[3701736]: User root from > 103.81.86.208 not allow > ed because not listed in AllowUsers > 2023-08-23T09:48:32.685843-04:00 build01 sshd[3701736]: Received disconnect > from 103.81.86.208 > port 42522:11: Bye Bye [preauth] > 2023-08-23T09:48:32.686043-04:00 build01 sshd[3701736]: Disconnected from > invalid user root 10 > 3.81.86.208 port 42522 [preauth] > > > auth,authpriv.* /var/log/auth.log > > > Y tengo lo mismo en /etc/rsyslog.conf. > > Tiene que haber algo de mal con tu configuración, pero nos haría falta > ver /etc/ssh/sshd_config y /etc/rsyslog.conf (o cualquier cosa que > tienes debajo /etc/rsyslog.d/) para poder prestarte mejor ayuda. > esta es la parte de configuracion de mi sshd_config , fuera de eso no tengo una configuracion especial ni nada. Include /etc/ssh/sshd_config.d/*.conf #Port 22 #AddressFamily any #ListenAddress 0.0.0.0 #ListenAddress :: #HostKey /etc/ssh/ssh_host_rsa_key #HostKey /etc/ssh/ssh_host_ecdsa_key #HostKey /etc/ssh/ssh_host_ed25519_key # Ciphers and keying #RekeyLimit default none # Logging #SyslogFacility AUTH #LogLevel INFO LogLevel VERBOSE # Authentication: #LoginGraceTime 2m PermitRootLogin yes #StrictModes yes MaxAuthTries 3 #MaxSessions 10 #PubkeyAuthentication yes # Expect .ssh/authorized_keys2 to be disregarded by default in future. #AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2 #AuthorizedPrincipalsFile none #AuthorizedKeysCommand none #AuthorizedKeysCommandUser nobody # For this to work you will also need host keys in /etc/ssh/ssh_known_hosts #HostbasedAuthentication no # Change to yes if you don't trust ~/.ssh/known_hosts for # HostbasedAuthentication #IgnoreUserKnownHosts no # Don't read the user's ~/.rhosts and ~/.shosts files #IgnoreRhosts yes # To disable tunneled clear text passwords, change to no here! #PasswordAuthentication yes #PermitEmptyPasswords no # Change to yes to enable challenge-response passwords (beware issues with # some PAM modules and threads) KbdInteractiveAuthentication no # Kerberos options #KerberosAuthentication no #KerberosOrLocalPasswd yes #KerberosTicketCleanup yes #KerberosGetAFSToken no # GSSAPI options #GSSAPIAuthentication no #GSSAPICleanupCredentials yes #GSSAPIStrictAcceptorCheck yes #GSSAPIKeyExchange no # Set this to 'yes' to enable PAM authentication, account processing, # and session processing. If this is enabled, PAM authentication will # be allowed through the KbdInteractiveAuthentication and # PasswordAuthentication. Depending on your PAM configuration, # PAM authentication via KbdInteractiveAuthentication may bypass # the setting of "PermitRootLogin prohibit-password". # If you just want the PAM account and session checks to run without # PAM authentication, then enable this but set PasswordAuthentication # and KbdInteractiveAuthentication to 'no'. UsePAM yes #AllowAgentForwarding yes #AllowTcpForwarding yes #GatewayPorts no X11Forwarding yes #X11DisplayOffset 10 #X11UseLocalhost yes #PermitTTY yes PrintMotd yes #PrintLastLog yes #TCPKeepAlive yes #PermitUserEnvironment no #Compression delayed #ClientAliveInterval 0 #ClientAliveCountMax 3 #UseDNS no #PidFile /run/sshd.pid #MaxStartups 10:30:100 #PermitTunnel no #ChrootDirectory none #VersionAddendum none # no default banner path #Banner none # Allow client to pass locale environment variables AcceptEnv LANG LC_* # override default of no subsystems Subsystem sftp /usr/lib/openssh/sftp-server # Example of overriding settings on a per-user basis #Match User anoncvs # X11Forwarding no # AllowTcpForwarding no # PermitTTY no # ForceCommand cvs server lo interesante es que si hago un journalctl -u ssh , veo cantidad de ataques conexiones a mi ssh , pero no lo registra el auth.log Aug 23 09:16:30 relay.srv sshd[18068]: error: kex_exchange_identification: Connection closed by remote ho> Aug 23 10:29:18 relay.srv sshd[19783]: fatal: Timeout before authentication for 42.51.227.67 port 25073 Aug 23 10:47:21 relay.srv sshd[20293]: error: kex_exchange_identification: Connection closed by remote ho> Aug 23 11:37:39 relay.srv sshd[21528]: error: kex_exchange_identification: banner line contains invalid c> Aug 23 11:37:51 relay.srv sshd[21542]: fatal: userauth_pubkey: parse publickey packet: incomplete message> Aug 23 12:29:23 relay.srv sshd[22814]: fatal: Timeout before authentication for 178.74.61.156 port 57086 Aug 23 13:07:27 relay.srv sshd[23768]: error: maximum authentication attempts exceeded for root from 43.1> Aug 23 13:07:38 relay.srv sshd[23780]: error: maximum authentication attempts exceeded for root from 43.1> Aug 23 15:21:28 relay.srv sshd[27144]: fatal: Timeout before authentication for 42.225.45.222 port 46344 Aug 23 15:23:44 relay.srv sshd[27240]: fatal: Timeout before authentication for 187.73.238.82 port 9190
Re: Después de actualizar no arranca «entorno gráfico» de forma automática
Buenas. Pues este es el resultado de ~# grep -e "(EE)" -e "(WW)" /var/log/Xorg.* /var/log/Xorg.0.log:(WW) warning, (EE) error, (NI) not implemented, (??) unknown. /var/log/Xorg.0.log:[15.181] (WW) The directory "/usr/share/fonts/X11/cyrillic" does not exist. /var/log/Xorg.0.log:[15.265] (EE) open /dev/dri/card0: No such file or directory /var/log/Xorg.0.log:[15.265] (WW) Falling back to old probe method for modesetting /var/log/Xorg.0.log:[15.265] (EE) open /dev/dri/card0: No such file or directory /var/log/Xorg.0.log:[15.266] (EE) Unable to find a valid framebuffer device /var/log/Xorg.0.log:[15.266] (WW) Falling back to old probe method for fbdev /var/log/Xorg.0.log:[15.266] (EE) open /dev/fb0: No such file or directory /var/log/Xorg.0.log:[15.266] (EE) Screen 0 deleted because of no matching config section. /var/log/Xorg.0.log:[15.266] (EE) Screen 0 deleted because of no matching config section. /var/log/Xorg.0.log:[15.266] (EE) Screen 0 deleted because of no matching config section. /var/log/Xorg.0.log:[15.287] (WW) VESA(0): Unable to estimate virtual size /var/log/Xorg.0.log.old:(WW) warning, (EE) error, (NI) not implemented, (??) unknown. /var/log/Xorg.0.log.old:[ 607.426] (WW) The directory "/usr/share/fonts/X11/cyrillic" does not exist. /var/log/Xorg.0.log.old:[ 607.509] (EE) open /dev/dri/card0: No such file or directory /var/log/Xorg.0.log.old:[ 607.509] (WW) Falling back to old probe method for modesetting /var/log/Xorg.0.log.old:[ 607.509] (EE) open /dev/dri/card0: No such file or directory /var/log/Xorg.0.log.old:[ 607.510] (EE) Unable to find a valid framebuffer device /var/log/Xorg.0.log.old:[ 607.510] (WW) Falling back to old probe method for fbdev /var/log/Xorg.0.log.old:[ 607.510] (EE) open /dev/fb0: No such file or directory /var/log/Xorg.0.log.old:[ 607.510] (EE) Screen 0 deleted because of no matching config section. /var/log/Xorg.0.log.old:[ 607.510] (EE) Screen 0 deleted because of no matching config section. /var/log/Xorg.0.log.old:[ 607.510] (EE) Screen 0 deleted because of no matching config section. /var/log/Xorg.0.log.old:[ 607.531] (WW) VESA(0): Unable to estimate virtual size /var/log/Xorg.0.log.old:[ 4469.354] (WW) xf86CloseConsole: KDSETMODE failed: Input/output error /var/log/Xorg.0.log.old:[ 4469.354] (WW) xf86CloseConsole: VT_GETMODE failed: Input/output error /var/log/Xorg.0.log.old:[ 4469.354] (WW) xf86OpenConsole: VT_GETSTATE failed: Input/output error /var/log/Xorg.1.log:(WW) warning, (EE) error, (NI) not implemented, (??) unknown. /var/log/Xorg.1.log:[ 9052.953] (WW) The directory "/usr/share/fonts/X11/cyrillic" does not exist. /var/log/Xorg.1.log:[ 9053.331] (EE) open /dev/dri/card0: No such file or directory /var/log/Xorg.1.log:[ 9053.331] (WW) Falling back to old probe method for modesetting /var/log/Xorg.1.log:[ 9053.331] (EE) open /dev/dri/card0: No such file or directory /var/log/Xorg.1.log:[ 9053.332] (EE) Unable to find a valid framebuffer device /var/log/Xorg.1.log:[ 9053.332] (WW) Falling back to old probe method for fbdev /var/log/Xorg.1.log:[ 9053.332] (EE) open /dev/fb0: No such file or directory /var/log/Xorg.1.log:[ 9053.332] (EE) Screen 0 deleted because of no matching config section. /var/log/Xorg.1.log:[ 9053.332] (EE) Screen 0 deleted because of no matching config section. /var/log/Xorg.1.log:[ 9053.332] (EE) Screen 0 deleted because of no matching config section. /var/log/Xorg.1.log:[ 9053.358] (WW) VESA(0): Unable to estimate virtual size /var/log/Xorg.1.log.old:(WW) warning, (EE) error, (NI) not implemented, (??) unknown. /var/log/Xorg.1.log.old:[ 26639.955] (WW) The directory "/usr/share/fonts/X11/cyrillic" does not exist. /var/log/Xorg.1.log.old:[ 26640.268] (EE) open /dev/dri/card0: No such file or directory /var/log/Xorg.1.log.old:[ 26640.268] (WW) Falling back to old probe method for modesetting /var/log/Xorg.1.log.old:[ 26640.268] (EE) open /dev/dri/card0: No such file or directory /var/log/Xorg.1.log.old:[ 26640.268] (EE) Unable to find a valid framebuffer device /var/log/Xorg.1.log.old:[ 26640.268] (WW) Falling back to old probe method for fbdev /var/log/Xorg.1.log.old:[ 26640.268] (EE) open /dev/fb0: No such file or directory /var/log/Xorg.1.log.old:[ 26640.268] (EE) Screen 0 deleted because of no matching config section. /var/log/Xorg.1.log.old:[ 26640.268] (EE) Screen 0 deleted because of no matching config section. /var/log/Xorg.1.log.old:[ 26640.268] (EE) Screen 0 deleted because of no matching config section. /var/log/Xorg.1.log.old:[ 26640.290] (WW) VESA(0): Unable to estimate virtual size Un saludo.
Re: Actividad en archivo auth.log
On Wed, Aug 23, 2023 at 08:53:45AM -0400, Rick Gutierrez wrote: >Saludos lista, alguien usando debian 12 qué pueda verificar si en el >archivo auth.log esta la actividad de las conexiones ssh, estoy revisando >una instalación qué hice y veo que no registra la actividad de las >conexiones ssh, active el loglevel a verbose y tampoco logro qué funcione? >También revise el rsyslog y veo que la línea qué refiere a la >aunteticacion esta ahí. > En auth.log veo una gran cantidad de mensajes parecido a esto: 2023-08-23T09:48:32.417117-04:00 build01 sshd[3701736]: User root from 103.81.86.208 not allow ed because not listed in AllowUsers 2023-08-23T09:48:32.685843-04:00 build01 sshd[3701736]: Received disconnect from 103.81.86.208 port 42522:11: Bye Bye [preauth] 2023-08-23T09:48:32.686043-04:00 build01 sshd[3701736]: Disconnected from invalid user root 10 3.81.86.208 port 42522 [preauth] > auth,authpriv.* /var/log/auth.log > Y tengo lo mismo en /etc/rsyslog.conf. Tiene que haber algo de mal con tu configuración, pero nos haría falta ver /etc/ssh/sshd_config y /etc/rsyslog.conf (o cualquier cosa que tienes debajo /etc/rsyslog.d/) para poder prestarte mejor ayuda. Saludos, -Roberto -- Roberto C. Sánchez
Actividad en archivo auth.log
Saludos lista, alguien usando debian 12 qué pueda verificar si en el archivo auth.log esta la actividad de las conexiones ssh, estoy revisando una instalación qué hice y veo que no registra la actividad de las conexiones ssh, active el loglevel a verbose y tampoco logro qué funcione? También revise el rsyslog y veo que la línea qué refiere a la aunteticacion esta ahí. auth,authpriv.* /var/log/auth.log Alguna idea 樂 -- rickygm http://gnuforever.homelinux.com