Re: Actividad en archivo auth.log

2023-08-23 Por tema Rick Gutierrez 
On Wed, Aug 23, 2023 at 3:55 PM Camaleón  wrote:

> E
> Sólo un apunte... en la nueva versión de Debian (12) ha habido cambios
> en cómo se gestionan los registros, y son cambios GORDOTES (spoiler:
> journalctl fagocita a rsylog):
>
> 5.1.7. Changes to system logging
>
> https://www.debian.org/releases/stable/amd64/release-notes/ch-information.en.html#changes-to-system-logging
>
> Mira si SSHD puede verse afectado.
>
> Saludos,
>

Si así es, todo los log se fueron a journalctl, voy a ver si puedo
habilitar los log con rsyslog, hay mucha gente quejándose de esa parte en
debían 12.


> --
> Camaleón
>
> Slds --
rickygm

http://gnuforever.homelinux.com

Re: Actividad en archivo auth.log

2023-08-23 Por tema Rick Gutierrez 
El mié, 23 ago 2023 a las 15:18, Roberto C. Sánchez
() escribió:
>

> Ahora me doy cuenta que tu mensaje original indicó «instalación». En mi
> caso, el sistema es viejo y ha sido actualizado a bookworm a través de
> varias versions anteriores de Debian (desde hace ya muchos años). Si
> instalaste el sistema neevo, entonces seguro que todo estará debajo
> journalctl y no syslog (como dijo Camaleón).
>
es correcto , te comento que no simpatizo mucho con journalctl , creo
que es el hermano de systemd.


-- 
rickygm

http://gnuforever.homelinux.com

Re: Actividad en archivo auth.log

2023-08-23 Por tema Roberto C . Sánchez 
On Wed, Aug 23, 2023 at 11:49:52AM -0400, Rick Gutierrez wrote:
> 
> lo interesante es que si hago un journalctl -u ssh , veo cantidad de
> ataques conexiones a mi ssh , pero no lo registra el auth.log
> 
Ahora me doy cuenta que tu mensaje original indicó «instalación». En mi
caso, el sistema es viejo y ha sido actualizado a bookworm a través de
varias versions anteriores de Debian (desde hace ya muchos años). Si
instalaste el sistema neevo, entonces seguro que todo estará debajo
journalctl y no syslog (como dijo Camaleón).

Saludos,

-Roberto

-- 
Roberto C. Sánchez

Re: Después de actualizar no arranca «entorno gráfico» de forma automática

2023-08-23 Por tema Camaleón 
El 2023-08-23 a las 19:04 +0200, aa ag escribió:

> Enviar: miércoles 23 de agosto de 2023 a las 17:50
> De: "Camaleón" 
> Para: debian-user-spanish@lists.debian.org
> Asunto: Re: Después de actualizar no arranca «entorno gráfico» de forma 
> automática
> El 2023-08-23 a las 17:18 +0200, aa ag escribió:
> 
>> > Buenas.
>> > Pues este es el resultado de ~# grep -e "(EE)" -e "(WW)" /var/log/Xorg.*
>> 
>> ¡Gracias! :-)
>> 
>> > /var/log/Xorg.0.log: (WW) warning, (EE) error, (NI) not implemented, (??) 
>> > unknown.
>> > /var/log/Xorg.0.log:[ 15.181] (WW) The directory 
>> > "/usr/share/fonts/X11/cyrillic" does not exist.
>> > /var/log/Xorg.0.log:[ 15.265] (EE) open /dev/dri/card0: No such file or 
>> > directory
>> > /var/log/Xorg.0.log:[ 15.265] (WW) Falling back to old probe method for 
>> > modesetting
>> > /var/log/Xorg.0.log:[ 15.265] (EE) open /dev/dri/card0: No such file or 
>> > directory
>> > /var/log/Xorg.0.log:[ 15.266] (EE) Unable to find a valid framebuffer 
>> > device
>> > /var/log/Xorg.0.log:[ 15.266] (WW) Falling back to old probe method for 
>> > fbdev
>> > /var/log/Xorg.0.log:[ 15.266] (EE) open /dev/fb0: No such file or directory
>> > /var/log/Xorg.0.log:[ 15.266] (EE) Screen 0 deleted because of no matching 
>> > config section.
>> > /var/log/Xorg.0.log:[ 15.266] (EE) Screen 0 deleted because of no matching 
>> > config section.
>> > /var/log/Xorg.0.log:[ 15.266] (EE) Screen 0 deleted because of no matching 
>> > config section.
>> > /var/log/Xorg.0.log:[ 15.287] (WW) VESA(0): Unable to estimate virtual size
> 
>> (...)
> 
>> ¿Puedes subir el archivo completo «/var/log/Xorg.0.log» a pastebin o algún 
>> sitio similar
>> (p. ej., «https://paste.debian.net/»)?
>> 
>> El archivo no contiene datos sensibles, puedes subirlo completo sin
>> problemas.

> Claro, ahí va: https://paste.debian.net/1289829/
> Gracias y un saludo.

Hum... no veo errores PERO algo le pasa a tu servidor gráfico porque 
*carga el driver VESA* y no creo que sea eso lo que quieras (tampoco 
debería ser motivo para que no nicie LightDM pero desde luego algo no 
marcha bien por es aparte), entiendo que tienes un adaptador ATI y 
deberías cargar el driver libre (RADEON) o el propietario pero no el 
genérico (framebuffer):

[15.264] (II) RADEON: Driver for ATI/AMD Radeon chipsets:
(...)
[15.265] (II) modesetting: Driver for Modesetting Kernel Drivers: kms
[15.265] (II) FBDEV: driver for framebuffer: fbdev
[15.265] (II) VESA: driver for VESA chipsets: vesa
[15.265] (II) [KMS] drm report modesetting isn't supported.
[15.265] (EE) open /dev/dri/card0: No such file or directory
[15.265] (WW) Falling back to old probe method for modesetting
[15.265] (EE) open /dev/dri/card0: No such file or directory
[15.265] (II) Loading sub module "fbdevhw"
[15.265] (II) LoadModule: "fbdevhw"
[15.265] (II) Loading /usr/lib/xorg/modules/libfbdevhw.so
[15.266] (II) Module fbdevhw: vendor="X.Org Foundation"
(...)
[15.266] (II) UnloadModule: "radeon"
[15.266] (EE) Screen 0 deleted because of no matching config section.
[15.266] (II) UnloadModule: "modesetting"
[15.266] (EE) Screen 0 deleted because of no matching config section.
[15.266] (II) UnloadModule: "fbdev"
[15.266] (II) UnloadSubModule: "fbdevhw"
[15.266] (II) Loading sub module "vbe"
[15.266] (II) LoadModule: "vbe"
[15.266] (II) Loading /usr/lib/xorg/modules/libint10.so
[15.267] (II) Module int10: vendor="X.Org Foundation"
[15.267]compiled for 1.21.1.8, module version = 1.0.0
[15.267]ABI class: X.Org Video Driver, version 25.2
[15.267] (II) Loading sub module "int10"
[15.267] (II) LoadModule: "int10"
[15.268] (II) Loading /usr/lib/xorg/modules/libint10.so
[15.268] (II) Module int10: vendor="X.Org Foundation"
[15.268]compiled for 1.21.1.8, module version = 1.0.0
[15.268]ABI class: X.Org Video Driver, version 25.2
[15.268] (II) VESA(0): initializing int10
(...)

Salvo que quieras cargar el driver VESA por algo en concreto (?) yo 
intentaría resolver ese problema con el servidor gráfico antes que nada:

https://wiki.debian.org/AtiHowTo

Saludos,

-- 
Camaleón

Re: Después de actualizar no arranca «entorno gráfico» de forma automática

2023-08-23 Por tema aa ag 
Claro, ahí va: https://paste.debian.net/1289829/
Gracias y un saludo.
 
 

Enviar: miércoles 23 de agosto de 2023 a las 17:50
De: "Camaleón" 
Para: debian-user-spanish@lists.debian.org
Asunto: Re: Después de actualizar no arranca «entorno gráfico» de forma 
automática
El 2023-08-23 a las 17:18 +0200, aa ag escribió:

> Buenas.
> Pues este es el resultado de ~# grep -e "(EE)" -e "(WW)" /var/log/Xorg.*

¡Gracias! :-)

> /var/log/Xorg.0.log: (WW) warning, (EE) error, (NI) not implemented, (??) 
> unknown.
> /var/log/Xorg.0.log:[ 15.181] (WW) The directory 
> "/usr/share/fonts/X11/cyrillic" does not exist.
> /var/log/Xorg.0.log:[ 15.265] (EE) open /dev/dri/card0: No such file or 
> directory
> /var/log/Xorg.0.log:[ 15.265] (WW) Falling back to old probe method for 
> modesetting
> /var/log/Xorg.0.log:[ 15.265] (EE) open /dev/dri/card0: No such file or 
> directory
> /var/log/Xorg.0.log:[ 15.266] (EE) Unable to find a valid framebuffer device
> /var/log/Xorg.0.log:[ 15.266] (WW) Falling back to old probe method for fbdev
> /var/log/Xorg.0.log:[ 15.266] (EE) open /dev/fb0: No such file or directory
> /var/log/Xorg.0.log:[ 15.266] (EE) Screen 0 deleted because of no matching 
> config section.
> /var/log/Xorg.0.log:[ 15.266] (EE) Screen 0 deleted because of no matching 
> config section.
> /var/log/Xorg.0.log:[ 15.266] (EE) Screen 0 deleted because of no matching 
> config section.
> /var/log/Xorg.0.log:[ 15.287] (WW) VESA(0): Unable to estimate virtual size

(...)

¿Puedes subir el archivo completo «/var/log/Xorg.0.log» a pastebin o algún 
sitio similar
(p. ej., «https://paste.debian.net/»)?

El archivo no contiene datos sensibles, puedes subirlo completo sin
problemas.

Saludos,

--
Camaleón
 

Re: Actividad en archivo auth.log

2023-08-23 Por tema Rick Gutierrez 
El mié, 23 ago 2023 a las 9:54, Roberto C. Sánchez
() escribió:

> >
> En auth.log veo una gran cantidad de mensajes parecido a esto:
>
> 2023-08-23T09:48:32.417117-04:00 build01 sshd[3701736]: User root from 
> 103.81.86.208 not allow
> ed because not listed in AllowUsers
> 2023-08-23T09:48:32.685843-04:00 build01 sshd[3701736]: Received disconnect 
> from 103.81.86.208
>  port 42522:11: Bye Bye [preauth]
> 2023-08-23T09:48:32.686043-04:00 build01 sshd[3701736]: Disconnected from 
> invalid user root 10
> 3.81.86.208 port 42522 [preauth]
>
> >  auth,authpriv.*  /var/log/auth.log
> >
> Y tengo lo mismo en /etc/rsyslog.conf.
>
> Tiene que haber algo de mal con tu configuración, pero nos haría falta
> ver /etc/ssh/sshd_config y /etc/rsyslog.conf (o cualquier cosa que
> tienes debajo /etc/rsyslog.d/) para poder prestarte mejor ayuda.
>

esta es la parte de configuracion de mi sshd_config , fuera de eso no
tengo una configuracion especial ni nada.

Include /etc/ssh/sshd_config.d/*.conf

#Port 22
#AddressFamily any
#ListenAddress 0.0.0.0
#ListenAddress ::

#HostKey /etc/ssh/ssh_host_rsa_key
#HostKey /etc/ssh/ssh_host_ecdsa_key
#HostKey /etc/ssh/ssh_host_ed25519_key

# Ciphers and keying
#RekeyLimit default none

# Logging
#SyslogFacility AUTH
#LogLevel INFO
LogLevel VERBOSE

# Authentication:

#LoginGraceTime 2m
PermitRootLogin yes
#StrictModes yes
MaxAuthTries 3
#MaxSessions 10

#PubkeyAuthentication yes

# Expect .ssh/authorized_keys2 to be disregarded by default in future.
#AuthorizedKeysFile .ssh/authorized_keys .ssh/authorized_keys2

#AuthorizedPrincipalsFile none

#AuthorizedKeysCommand none
#AuthorizedKeysCommandUser nobody

# For this to work you will also need host keys in /etc/ssh/ssh_known_hosts
#HostbasedAuthentication no
# Change to yes if you don't trust ~/.ssh/known_hosts for
# HostbasedAuthentication
#IgnoreUserKnownHosts no
# Don't read the user's ~/.rhosts and ~/.shosts files
#IgnoreRhosts yes

# To disable tunneled clear text passwords, change to no here!
#PasswordAuthentication yes
#PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
KbdInteractiveAuthentication no

# Kerberos options
#KerberosAuthentication no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
#KerberosGetAFSToken no

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
#GSSAPIStrictAcceptorCheck yes
#GSSAPIKeyExchange no

# Set this to 'yes' to enable PAM authentication, account processing,
# and session processing. If this is enabled, PAM authentication will
# be allowed through the KbdInteractiveAuthentication and
# PasswordAuthentication.  Depending on your PAM configuration,
# PAM authentication via KbdInteractiveAuthentication may bypass
# the setting of "PermitRootLogin prohibit-password".
# If you just want the PAM account and session checks to run without
# PAM authentication, then enable this but set PasswordAuthentication
# and KbdInteractiveAuthentication to 'no'.
UsePAM yes

#AllowAgentForwarding yes
#AllowTcpForwarding yes
#GatewayPorts no
X11Forwarding yes
#X11DisplayOffset 10
#X11UseLocalhost yes
#PermitTTY yes
PrintMotd yes
#PrintLastLog yes
#TCPKeepAlive yes
#PermitUserEnvironment no
#Compression delayed
#ClientAliveInterval 0
#ClientAliveCountMax 3
#UseDNS no
#PidFile /run/sshd.pid
#MaxStartups 10:30:100
#PermitTunnel no
#ChrootDirectory none
#VersionAddendum none

# no default banner path
#Banner none
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

# override default of no subsystems
Subsystem sftp /usr/lib/openssh/sftp-server

# Example of overriding settings on a per-user basis
#Match User anoncvs
# X11Forwarding no
# AllowTcpForwarding no
# PermitTTY no
# ForceCommand cvs server


lo interesante es que si hago un journalctl -u ssh , veo cantidad de
ataques conexiones a mi ssh , pero no lo registra el auth.log

Aug 23 09:16:30 relay.srv sshd[18068]: error:
kex_exchange_identification: Connection closed by remote ho>
Aug 23 10:29:18 relay.srv sshd[19783]: fatal: Timeout before
authentication for 42.51.227.67 port 25073
Aug 23 10:47:21 relay.srv  sshd[20293]: error:
kex_exchange_identification: Connection closed by remote ho>
Aug 23 11:37:39 relay.srv  sshd[21528]: error:
kex_exchange_identification: banner line contains invalid c>
Aug 23 11:37:51 relay.srv  sshd[21542]: fatal: userauth_pubkey: parse
publickey packet: incomplete message>
Aug 23 12:29:23 relay.srv sshd[22814]: fatal: Timeout before
authentication for 178.74.61.156 port 57086
Aug 23 13:07:27 relay.srv  sshd[23768]: error: maximum authentication
attempts exceeded for root from 43.1>
Aug 23 13:07:38 relay.srv  sshd[23780]: error: maximum authentication
attempts exceeded for root from 43.1>
Aug 23 15:21:28 relay.srv sshd[27144]: fatal: Timeout before
authentication for 42.225.45.222 port 46344
Aug 23 15:23:44 relay.srv sshd[27240]: fatal: Timeout before
authentication for 187.73.238.82 port 9190

Re: Después de actualizar no arranca «entorno gráfico» de forma automática

2023-08-23 Por tema aa ag 
Buenas.
Pues este es el resultado de ~# grep -e "(EE)" -e "(WW)" /var/log/Xorg.*

/var/log/Xorg.0.log:(WW) warning, (EE) error, (NI) not implemented, (??) 
unknown.
/var/log/Xorg.0.log:[15.181] (WW) The directory 
"/usr/share/fonts/X11/cyrillic" does not exist.
/var/log/Xorg.0.log:[15.265] (EE) open /dev/dri/card0: No such file or 
directory
/var/log/Xorg.0.log:[15.265] (WW) Falling back to old probe method for 
modesetting
/var/log/Xorg.0.log:[15.265] (EE) open /dev/dri/card0: No such file or 
directory
/var/log/Xorg.0.log:[15.266] (EE) Unable to find a valid framebuffer device
/var/log/Xorg.0.log:[15.266] (WW) Falling back to old probe method for fbdev
/var/log/Xorg.0.log:[15.266] (EE) open /dev/fb0: No such file or directory
/var/log/Xorg.0.log:[15.266] (EE) Screen 0 deleted because of no matching 
config section.
/var/log/Xorg.0.log:[15.266] (EE) Screen 0 deleted because of no matching 
config section.
/var/log/Xorg.0.log:[15.266] (EE) Screen 0 deleted because of no matching 
config section.
/var/log/Xorg.0.log:[15.287] (WW) VESA(0): Unable to estimate virtual size
/var/log/Xorg.0.log.old:(WW) warning, (EE) error, (NI) not implemented, 
(??) unknown.
/var/log/Xorg.0.log.old:[   607.426] (WW) The directory 
"/usr/share/fonts/X11/cyrillic" does not exist.
/var/log/Xorg.0.log.old:[   607.509] (EE) open /dev/dri/card0: No such file or 
directory
/var/log/Xorg.0.log.old:[   607.509] (WW) Falling back to old probe method for 
modesetting
/var/log/Xorg.0.log.old:[   607.509] (EE) open /dev/dri/card0: No such file or 
directory
/var/log/Xorg.0.log.old:[   607.510] (EE) Unable to find a valid framebuffer 
device
/var/log/Xorg.0.log.old:[   607.510] (WW) Falling back to old probe method for 
fbdev
/var/log/Xorg.0.log.old:[   607.510] (EE) open /dev/fb0: No such file or 
directory
/var/log/Xorg.0.log.old:[   607.510] (EE) Screen 0 deleted because of no 
matching config section.
/var/log/Xorg.0.log.old:[   607.510] (EE) Screen 0 deleted because of no 
matching config section.
/var/log/Xorg.0.log.old:[   607.510] (EE) Screen 0 deleted because of no 
matching config section.
/var/log/Xorg.0.log.old:[   607.531] (WW) VESA(0): Unable to estimate virtual 
size
/var/log/Xorg.0.log.old:[  4469.354] (WW) xf86CloseConsole: KDSETMODE failed: 
Input/output error
/var/log/Xorg.0.log.old:[  4469.354] (WW) xf86CloseConsole: VT_GETMODE failed: 
Input/output error
/var/log/Xorg.0.log.old:[  4469.354] (WW) xf86OpenConsole: VT_GETSTATE failed: 
Input/output error
/var/log/Xorg.1.log:(WW) warning, (EE) error, (NI) not implemented, (??) 
unknown.
/var/log/Xorg.1.log:[  9052.953] (WW) The directory 
"/usr/share/fonts/X11/cyrillic" does not exist.
/var/log/Xorg.1.log:[  9053.331] (EE) open /dev/dri/card0: No such file or 
directory
/var/log/Xorg.1.log:[  9053.331] (WW) Falling back to old probe method for 
modesetting
/var/log/Xorg.1.log:[  9053.331] (EE) open /dev/dri/card0: No such file or 
directory
/var/log/Xorg.1.log:[  9053.332] (EE) Unable to find a valid framebuffer device
/var/log/Xorg.1.log:[  9053.332] (WW) Falling back to old probe method for fbdev
/var/log/Xorg.1.log:[  9053.332] (EE) open /dev/fb0: No such file or directory
/var/log/Xorg.1.log:[  9053.332] (EE) Screen 0 deleted because of no matching 
config section.
/var/log/Xorg.1.log:[  9053.332] (EE) Screen 0 deleted because of no matching 
config section.
/var/log/Xorg.1.log:[  9053.332] (EE) Screen 0 deleted because of no matching 
config section.
/var/log/Xorg.1.log:[  9053.358] (WW) VESA(0): Unable to estimate virtual size
/var/log/Xorg.1.log.old:(WW) warning, (EE) error, (NI) not implemented, 
(??) unknown.
/var/log/Xorg.1.log.old:[ 26639.955] (WW) The directory 
"/usr/share/fonts/X11/cyrillic" does not exist.
/var/log/Xorg.1.log.old:[ 26640.268] (EE) open /dev/dri/card0: No such file or 
directory
/var/log/Xorg.1.log.old:[ 26640.268] (WW) Falling back to old probe method for 
modesetting
/var/log/Xorg.1.log.old:[ 26640.268] (EE) open /dev/dri/card0: No such file or 
directory
/var/log/Xorg.1.log.old:[ 26640.268] (EE) Unable to find a valid framebuffer 
device
/var/log/Xorg.1.log.old:[ 26640.268] (WW) Falling back to old probe method for 
fbdev
/var/log/Xorg.1.log.old:[ 26640.268] (EE) open /dev/fb0: No such file or 
directory
/var/log/Xorg.1.log.old:[ 26640.268] (EE) Screen 0 deleted because of no 
matching config section.
/var/log/Xorg.1.log.old:[ 26640.268] (EE) Screen 0 deleted because of no 
matching config section.
/var/log/Xorg.1.log.old:[ 26640.268] (EE) Screen 0 deleted because of no 
matching config section.
/var/log/Xorg.1.log.old:[ 26640.290] (WW) VESA(0): Unable to estimate virtual 
size

Un saludo.

Re: Actividad en archivo auth.log

2023-08-23 Por tema Roberto C . Sánchez 
On Wed, Aug 23, 2023 at 08:53:45AM -0400, Rick Gutierrez wrote:
>Saludos lista, alguien usando debian 12 qué pueda verificar si en el
>archivo auth.log esta la actividad de las conexiones ssh, estoy revisando
>una instalación qué hice y veo que no registra la actividad de las
>conexiones ssh, active el loglevel a verbose y tampoco logro qué funcione?
>También revise el rsyslog y veo que la línea qué refiere a la
>aunteticacion esta ahí.
> 
En auth.log veo una gran cantidad de mensajes parecido a esto:

2023-08-23T09:48:32.417117-04:00 build01 sshd[3701736]: User root from 
103.81.86.208 not allow
ed because not listed in AllowUsers
2023-08-23T09:48:32.685843-04:00 build01 sshd[3701736]: Received disconnect 
from 103.81.86.208
 port 42522:11: Bye Bye [preauth]
2023-08-23T09:48:32.686043-04:00 build01 sshd[3701736]: Disconnected from 
invalid user root 10
3.81.86.208 port 42522 [preauth]

>  auth,authpriv.*  /var/log/auth.log
> 
Y tengo lo mismo en /etc/rsyslog.conf.

Tiene que haber algo de mal con tu configuración, pero nos haría falta
ver /etc/ssh/sshd_config y /etc/rsyslog.conf (o cualquier cosa que
tienes debajo /etc/rsyslog.d/) para poder prestarte mejor ayuda.

Saludos,

-Roberto

-- 
Roberto C. Sánchez

Actividad en archivo auth.log

2023-08-23 Por tema Rick Gutierrez 
Saludos lista, alguien usando debian 12 qué pueda verificar si en el
archivo auth.log esta la actividad de las conexiones ssh, estoy revisando
una instalación qué hice y veo que no registra la actividad de las
conexiones ssh, active el loglevel a verbose y tampoco logro qué funcione?

También revise el rsyslog y veo que la línea qué refiere a la aunteticacion
esta ahí.

auth,authpriv.*  /var/log/auth.log


Alguna idea
樂
-- 
rickygm

http://gnuforever.homelinux.com