在全新安装的 CentOS 7 上更新后,sshd 不再记录

在全新安装的 CentOS 7 上更新后,sshd 不再记录

我正在运行带有 CentOS 7 的 VPS。

全新安装后,我正确地看到登录尝试失败和服务重启出现/var/log/secure如下情况:

Jul 8 13:55:32 vps unix_chkpwd[2561]: password check failed for user (root) ...

Jul 8 14:03:21 vps sshd[13388]: Server listening on 0.0.0.0 port 22. Jul 8 14:03:21 vps sshd[13388]: Server listening on :: port 22

运行后sudo yum update,日志记录/var/log/secure突然停止。但是,journalctl -u sshd仍然显示登录尝试失败和服务重新启动。

rsyslog.conf没有改变:

[midas@vps ~]$ ls -la /etc/rsyslog.conf
-rw-r--r--. 1 root root 3232  7 sep  2015 /etc/rsyslog.conf

并正确地将 authpriv.* 日志重定向到/var/log/secure

#### 规则 ####

# 将所有内核消息记录到控制台。
# 记录太多其他内容会使屏幕变得混乱。
#kern.* /dev/console

# 记录信息级别或更高级别的任何内容(邮件除外)。
# 不要记录私人身份验证消息!
*.信息;mail.none;authpriv.none;cron.none /var/log/messages

# authpriv 文件具有限制访问。
authpriv。* /var/log/secure

# 将所有邮件消息记录在一个地方。
邮件。*-/var/log/maillog


# 记录 cron 内容
cron。* /var/log/cron

# 每个人都会收到紧急消息
*.emerg :omusrmsg:*

# 将 crit 级别及更高级别的新闻错误保存在一个特殊文件中。
uucp,news.crit /var/log/spooler

# 将启动信息也保存到 boot.log
本地7.* /var/log/boot.log

我实际上进行了全新安装,以追溯此问题的根源。任何帮助都将不胜感激,因为我目前不知道日志除了日志之外还存储在哪里。

答案1

之后运行sudo fixfiles restore并重新启动 syslogd,它对我来说又起作用了。

这是升级 CentOS 7 后的一个已知问题,具体描述如下CentOS 7.0 发行说明 - 已知问题 - 安全

policycoreutils 组件,BZ#1082676

由于 fixfiles 脚本中存在错误,如果将 exclude_dirs 文件定义为排除目录进行重新标记,则运行 fixfiles restore 命令会在系统上的大量文件上应用错误的标签。

相关内容