上天查看了服务器安全日志,防火墙屏蔽了处理了一些暴力破解ssh密码的ip(其中一个ip地址为北京一家有名的CDN服务提供商),然后删除了所有的/var/log/secure* 日志文件。
今天再来查看日志的时候,发现/var/log/secure竟然没有记录,才想到直接删除日志文件的时候,对应的服务需要重启。
运行命令:service syslog restart service sshd restart 后正常。
顺便复习下ssh在syslog中的设置的知识。
1、/etc/ssh/sshd_config 中的设置:(即:SyslogFacility 设为AUTHPRIV)
2、配合/etc/syslog.conf中的设置: (authpriv.* /var/log/secure)
重新启动sshd和syslog