Brak Wpisów W /var/log/messages

[samba]

Mam dziwny problem.

Usługi crond i syslog działają natomiast nie mam wpisów w /var/log/messages

May  9 04:03:27 proliant syslogd 1.4.1: restart.
May  9 04:03:27 proliant logrotate: ALERT exited abnormally with [1]
May 10 00:37:25 proliant ntpd[3251]: synchronized to 194.29.130.252, stratum 1
May 10 12:51:59 proliant ntpd[3251]: synchronized to 193.0.71.133, stratum 1
May 11 09:38:38 proliant ntpd[3251]: synchronized to 194.29.130.252, stratum 1
May 11 11:14:16 proliant kernel: Kernel logging (proc) stopped.
May 11 11:14:16 proliant kernel: Kernel log daemon terminating.
May 11 11:14:17 proliant exiting on signal 15
May 11 11:14:17 proliant syslogd 1.4.1: restart.
May 11 11:14:17 proliant kernel: klogd 1.4.1, log source = /proc/kmsg started.
May 11 11:20:54 proliant ntpd[3251]: synchronized to 193.0.71.133, stratum 1
May 11 12:21:45 proliant kernel: Kernel logging (proc) stopped.
May 11 12:21:45 proliant kernel: Kernel log daemon terminating.
May 11 12:21:46 proliant exiting on signal 15
May 11 12:21:46 proliant syslogd 1.4.1: restart.
May 11 12:21:46 proliant kernel: klogd 1.4.1, log source = /proc/kmsg started.
May 11 12:47:57 proliant kernel: Kernel logging (proc) stopped.
May 11 12:47:57 proliant kernel: Kernel log daemon terminating.
May 11 12:47:58 proliant exiting on signal 15
May 11 12:47:58 proliant syslogd 1.4.1: restart.
May 11 12:47:58 proliant kernel: klogd 1.4.1, log source = /proc/kmsg started.
May 11 12:49:14 proliant ntpd[3251]: ntpd exiting on signal 15
May 11 12:49:15 proliant ntpd[13092]: ntpd [email protected] Sat Dec 19 00:58:16 UTC 2009 (1)
May 11 12:49:15 proliant ntpd[13093]: precision = 1.000 usec
May 11 12:49:15 proliant ntpd[13093]: Listening on interface wildcard, 0.0.0.0#123 Disabled
May 11 12:49:15 proliant ntpd[13093]: Listening on interface wildcard, ::#123 Disabled
May 11 12:49:15 proliant ntpd[13093]: Listening on interface lo, ::1#123 Enabled
May 11 12:49:15 proliant ntpd[13093]: Listening on interface eth0, fe80::21b:78ff:fe9a:1c70#123 Enabled
May 11 12:49:15 proliant ntpd[13093]: Listening on interface lo, 127.0.0.1#123 Enabled
May 11 12:49:15 proliant ntpd[13093]: Listening on interface eth1, 192.168.0.1#123 Enabled
May 11 12:49:15 proliant ntpd[13093]: Listening on interface eth0, 192.168.1.2#123 Enabled
May 11 12:49:15 proliant ntpd[13093]: kernel time sync status 0040
May 11 12:49:15 proliant ntpd[13093]: frequency initialized 84.822 PPM from /var/lib/ntp/drift
May 11 12:52:29 proliant ntpd[13093]: synchronized to 193.238.12.139, stratum 2
May 11 12:52:29 proliant ntpd[13093]: kernel time sync enabled 0001
May 11 12:55:43 proliant ntpd[13093]: synchronized to 194.29.130.252, stratum 1

 

Zauważyłem że gdy dodałem do pliku /etc/hosts.deny adresy ip by zbanować boty które próbują zalogować mi się na vsftpd (teraz zachaszowałem) to w messages nie było wpisów mimo iż usługi odpowiedzialne za logowanie działały!

 

#vsftpd: 203.241.228.179
#vsftpd: 64.9.214.204
#vsftpd: 202.106.62.33
#vsftpd: 69.80.227.51
sshd:
# DenyHosts: Fri Jul 10 03:26:23 2009 | sshd: 121.119.182.133
# DenyHosts: Tue Apr 13 13:40:42 2010 | sshd: 219.84.103.232
sshd: 219.84.103.232

 

Używam denyhosts by blokować boty dla sshd. Chciałbym też w podobny sposób blokować boty które metodą słownikową chcą zalogować się na ftp.

Czy dodanie do hosts.deny wpisu

vsftpd: adres_ip

 

jest poprawne? Czy coś robię źle ? Czy jest możliwe aby takie wpisy wywalały mi messages ?

 

Błąd objawia się na Centos 5.4 .

[ra-v]

Cron nie musi chodzić najwyżej będziesz ręcznie żaglować logami.

 

A usłyga messagebus działa?

[samba]

Cron nie musi chodzić najwyżej będziesz ręcznie żaglować logami.

 

A usłyga messagebus działa?

/etc/init.d/messagebus status

dbus-daemon (pid 3089) jest uruchomiony...

 

Tak więc działa a w messages dalej zero wpisów tj są tylko wpisy po restarcie syslog i dalej nic nie wchodzi do messages.

Macie jakieś pomysły?

Z tego co zauważyłem nie jest to wina jak uprzednio sądziłem wpisów do host.deny vsftpd: adres_ip.

 

Tak więc problem dalej nie rozwiązany.

 

Może mam jakiegoś rootkita? Macie jakiś soft prócz rkhunter, chkrootkit do sprawdzania Linuxów . Jak postępujecie i jak sprawdzacie czy wasze systemy nie są zainfekowane ?

May  9 04:03:27 proliant syslogd 1.4.1: restart.
May  9 04:03:27 proliant logrotate: ALERT exited abnormally with [1]
May 10 00:37:25 proliant ntpd[3251]: synchronized to 194.29.130.252, stratum 1
May 10 12:51:59 proliant ntpd[3251]: synchronized to 193.0.71.133, stratum 1
May 11 09:38:38 proliant ntpd[3251]: synchronized to 194.29.130.252, stratum 1
May 11 11:14:16 proliant kernel: Kernel logging (proc) stopped.
May 11 11:14:16 proliant kernel: Kernel log daemon terminating.
May 11 11:14:17 proliant exiting on signal 15
May 11 11:14:17 proliant syslogd 1.4.1: restart.
May 11 11:14:17 proliant kernel: klogd 1.4.1, log source = /proc/kmsg started.
May 11 11:20:54 proliant ntpd[3251]: synchronized to 193.0.71.133, stratum 1
May 11 12:21:45 proliant kernel: Kernel logging (proc) stopped.
May 11 12:21:45 proliant kernel: Kernel log daemon terminating.
May 11 12:21:46 proliant exiting on signal 15
May 11 12:21:46 proliant syslogd 1.4.1: restart.
May 11 12:21:46 proliant kernel: klogd 1.4.1, log source = /proc/kmsg started.
May 11 12:47:57 proliant kernel: Kernel logging (proc) stopped.
May 11 12:47:57 proliant kernel: Kernel log daemon terminating.
May 11 12:47:58 proliant exiting on signal 15
May 11 12:47:58 proliant syslogd 1.4.1: restart.
May 11 12:47:58 proliant kernel: klogd 1.4.1, log source = /proc/kmsg started.
May 11 12:49:14 proliant ntpd[3251]: ntpd exiting on signal 15
May 11 12:49:15 proliant ntpd[13092]: ntpd [email protected] Sat Dec 19 00:58:16 UTC 2009 (1)
May 11 12:49:15 proliant ntpd[13093]: precision = 1.000 usec
May 11 12:49:15 proliant ntpd[13093]: Listening on interface wildcard, 0.0.0.0#123 Disabled
May 11 12:49:15 proliant ntpd[13093]: Listening on interface wildcard, ::#123 Disabled
May 11 12:49:15 proliant ntpd[13093]: Listening on interface lo, ::1#123 Enabled
May 11 12:49:15 proliant ntpd[13093]: Listening on interface eth0, fe80::21b:78ff:fe9a:1c70#123 Enabled
May 11 12:49:15 proliant ntpd[13093]: Listening on interface lo, 127.0.0.1#123 Enabled
May 11 12:49:15 proliant ntpd[13093]: Listening on interface eth1, 192.168.0.1#123 Enabled
May 11 12:49:15 proliant ntpd[13093]: Listening on interface eth0, 192.168.1.2#123 Enabled
May 11 12:49:15 proliant ntpd[13093]: kernel time sync status 0040
May 11 12:49:15 proliant ntpd[13093]: frequency initialized 84.822 PPM from /var/lib/ntp/drift
May 11 12:52:29 proliant ntpd[13093]: synchronized to 193.238.12.139, stratum 2
May 11 12:52:29 proliant ntpd[13093]: kernel time sync enabled 0001
May 11 12:55:43 proliant ntpd[13093]: synchronized to 194.29.130.252, stratum 1

[@WalDo]

A jak wygląda /etc/rsyslog.conf? Ewentualnie /etc/syslog.conf - nie pamiętam dokładnie a nie mam teraz jak sprawdzić.

[EDIT]

/etc/rsyslog - zgodnie z dokumentacją

[/EDIT]

 

Pokaż co wychodzi z czegoś takiego

logger "sprawdzam logowanie w /var/log/messages"
tail /var/log/messages

SElinux działa? Może spróbuj wyłączyć albo wymusić odświeżenie kontekstów przy restarcie

touch /.autorelabel
reboot

[samba]

Pokaż co wychodzi z czegoś takiego

logger "sprawdzam logowanie w /var/log/messages"
tail /var/log/messages

Po wpisaniu logger "sprawdzam ..." widzę napis w messages Czyli na pozór działa ale wpisów jest tam tyle co kot napłakał. Sam już nie wiem czemu jest tam tak mało wpisów. Gdy podłączyłem pendrive w messages od razu pokazały się wpisy . Czyli syslog niby działa. Aczkolwiek jedyne wpisy jakie w nim są pochodzą od ntpd

May 12 13:12:18 proliant kernel: usb 1-2: new high speed USB device using ehci_hcd and address 3
May 12 13:12:19 proliant kernel: usb 1-2: configuration #1 chosen from 1 choice
May 12 13:12:19 proliant kernel: Initializing USB Mass Storage driver...
May 12 13:12:19 proliant kernel: scsi6 : SCSI emulation for USB Mass Storage devices
May 12 13:12:19 proliant kernel: usbcore: registered new driver usb-storage
May 12 13:12:19 proliant kernel: USB Mass Storage support registered.

 

 

Mój syslog

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;news.none;authpriv.none;cron.none              /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog


# Log cron stuff
cron.*                                                  /var/log/cron

# Everybody gets emergency messages
*.emerg                                                 *

# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler

# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log

# INN
#
news.=crit                                        /var/log/news/news.crit
news.=err                                         /var/log/news/news.err
news.notice                                       /var/log/news/news.notice

[@WalDo]

A nie obniżyłeś sobie poziomu logowania komunikatów systemowych? Nie wiem jak to jest na Centos, ale chyba jest takie polecenie "klogd". Przy pomocy opcji "-c" i cyferki można zwiększyć lub zmniejszyć (chyba nawet niemal wyłączyć) zapisy do /var/log/messages. Chociaż nie wiem czy klogd nie jest przestarzałe ale skoro masz syslog a nie rsyslog to może i klogd też istnieje