我正在运行带有 CentOS 7 的 VPS。
全新安装后,我正确地看到登录尝试失败和服务重启出现/var/log/secure如下情况:
Jul 8 13:55:32 vps unix_chkpwd[2561]: password check failed for user (root)
...
Jul 8 14:03:21 vps sshd[13388]: Server listening on 0.0.0.0 port 22. Jul 8 14:03:21 vps sshd[13388]: Server listening on :: port 22
运行后sudo yum update,日志记录/var/log/secure突然停止。但是,journalctl -u sshd仍然显示登录尝试失败和服务重新启动。
rsyslog.conf没有改变:
[midas@vps ~]$ ls -la /etc/rsyslog.conf
-rw-r--r--. 1 root root 3232 7 sep 2015 /etc/rsyslog.conf
并正确地将 authpriv.* 日志重定向到/var/log/secure:
#### 规则 #### # 将所有内核消息记录到控制台。 # 记录太多其他内容会使屏幕变得混乱。 #kern.* /dev/console # 记录信息级别或更高级别的任何内容(邮件除外)。 # 不要记录私人身份验证消息! *.信息;mail.none;authpriv.none;cron.none /var/log/messages # authpriv 文件具有限制访问。 authpriv。* /var/log/secure # 将所有邮件消息记录在一个地方。 邮件。*-/var/log/maillog # 记录 cron 内容 cron。* /var/log/cron # 每个人都会收到紧急消息 *.emerg :omusrmsg:* # 将 crit 级别及更高级别的新闻错误保存在一个特殊文件中。 uucp,news.crit /var/log/spooler # 将启动信息也保存到 boot.log 本地7.* /var/log/boot.log
我实际上进行了全新安装,以追溯此问题的根源。任何帮助都将不胜感激,因为我目前不知道日志除了日志之外还存储在哪里。
答案1
之后运行sudo fixfiles restore并重新启动 syslogd,它对我来说又起作用了。
这是升级 CentOS 7 后的一个已知问题,具体描述如下CentOS 7.0 发行说明 - 已知问题 - 安全
policycoreutils 组件,BZ#1082676
由于 fixfiles 脚本中存在错误,如果将 exclude_dirs 文件定义为排除目录进行重新标记,则运行 fixfiles restore 命令会在系统上的大量文件上应用错误的标签。