Fehlgeschlagene Logins landen nicht in /var/log/btmp

[Anotherone]

Hallo,

woran kann es liegen, das auf meinem Server (Debian Etch) fehlgeschlagene Logins nicht in die Datei /var/log/btmp geschrieben werden. Habe diverse Beiträge bezüglich der Berechtigung gefunden, habe verschiedene probiert (600, 660), aber es ändert nichts. Der Eintrag in der /etc/login.defs ist vorhanden.

[fuzzy]

Hallo Anotherone,

verstehe ich das richtig, Du bekommst keine Meldung in /var/log/auth.log?

Code: Alles auswählen

grep -i fail /var/log/auth.log

...es wird bei mir etwas in /var/log/btmp geschrieben, aber es ist für mich nicht "entzifferbar",
die Informationen aus /var/log/auth.log sind für mich eindeutig.

Gruß Kai

[Anotherone]

Doch, in auth.log erfolgt ein Eintrag, aber in btmp sollten halt die erscheinen, die fehlgeschlagen sind. Aus der auth.log müsste ich verschiedene Muster filtern (da die Einträge sehr unterschiedlich sind), um die fehlerhaften zu bekommen und dafür sollte die btmp eigentlich da sein. Oder irre ich mich?

Die Datei btmp kann man übrigens nicht direkt einsehen, dafür gibt es den Befehl "lastb".

[fuzzy]

Die Datei btmp kann man übrigens nicht direkt einsehen, dafür gibt es den Befehl "lastb".

Danke das kannte ich noch nicht.
Mir reicht(e) immer /var/log/auth.log, da es mir egal war ob ein fehlerhafter Loginversuch nun per ssh oder lokal passiert.
...sofern man sich auf einen Rechner von "draussen" einloggen kann, wechsele ich eh den port auf !=22 damit diese Logs noch schneller zu überblicken sind....

Gruß fuzzy

[Anotherone]

Ich möchte gern per Mail informiert werden und da ist eine Datei, die nur die fehlerhaften enthält besser als die auth, die auch Dinge enthält, die mich nicht interessieren. Und leider bekomme ich mit einem grep nicht alle fehlerhaften zu fassen (oder gibt es eine Syntax?), fail zum Beispiel zeigt mir nur vom FTP, aber nicht vom SSH an.