macOS 10.12 - wie alle ssh-Zugriffe loggen?

[CyberTom]

So langsam läuft der Mini unter 10.12, irgendwie habe ich aber im system.log bis auf folgendes

com.apple.xpc.launchd[1] (com.openssh.sshd.xxxxx]): Service exited with abnormal code: 255

keine anderen Einträge wenn man sich via ssh/sftp einlogged. In der sshd_config steht

SyslogFacility AUTH
LogLevel VERBOSE

Wie kann ich alle ssh/sftp-Zugriffe, am Besten in einer anderen Datei, loggen?

 

[Olivetti]

schau halt mal in deiner syslog/asl konfig nach. sollte das nicht in /var/log/sshd.log auflaufen?

 

[CyberTom]

Weder in der syslog noch in der asl konfig ist unter 10.12 standardmäßig was konfiguriert. Unter 10.11 hatte ich

authpriv.*  /var/log/sshd.log

in der syslog.conf, aber irgendwie funktioniert das nicht mehr.

 

[Olivetti]

in /etc/asl ist auch nix openssh-mässiges zu finden?

 

[CyberTom]

Keine Ahnung was ich übersehe. Unter 10.11 habe ich es einfach hingekriegt. Aus sshd_conf

# Logging
SyslogFacility AUTHPRIV
LogLevel INFO

und die entsprechende Passage aus dem originalen asl.conf

# Rules for /var/log/system.log
> system.log mode=0640 format=bsd rotate=seq compress file_max=5M all_max=50M
? [= Sender kernel] file system.log
? [<= Level notice] file system.log
? [= Facility auth] [<= Level info] file system.log
? [= Facility authpriv] [<= Level info] file system.log

geändert zu

# Rules for /var/log/system.log
> system.log mode=0640 format=bsd rotate=seq compress file_max=5M all_max=50M
? [= Sender kernel] file system.log
? [<= Level notice] file system.log
#? [= Facility auth] [<= Level info] file system.log
#? [= Facility authpriv] [<= Level info] file system.log

? [= Facility authpriv] [<= Level info] file secure.log file_max=5M all_max=50M

? [= Facility auth] [<= Level info] file secure_auth.log file_max=5M all_max=50M

bringt gar nichts. Alles im System.log als

mac sshd: ssh_user [priv][612]: USER_PROCESS: 614 ttys000

dafür keine weitere log-Datei.

 

[oneOeight]

müsste das nicht eher so sein:

> secure.log mode=0640 format=bsd rotate=seq compress file_max=5M all_max=50M
? [= Facility authpriv] [<= Level info] file secure.log file_max=5M all_max=50M
? [= Facility auth] [<= Level info] file secure.log file_max=5M all_max=50M

 

[CyberTom]

müsste das nicht eher so sein:

> secure.log mode=0640 format=bsd rotate=seq compress file_max=5M all_max=50M
? [= Facility authpriv] [<= Level info] file secure.log file_max=5M all_max=50M
? [= Facility auth] [<= Level info] file secure.log file_max=5M all_max=50M

Das exakt war mein erster (auch nicht erfolgreicher) Versuch. Habe mich dann an dieser weiteren Zeile aus der original asl.conf orientiert

# Facility com.apple.alf.logging gets saved in appfirewall.log
? [= Facility com.apple.alf.logging] file appfirewall.log file_max=5M all_max=50M

deren Variation für ssh aber auch nicht funktioniert.

Mache es nicht erst seit heute und bisher hat es ohne Anlegen der Datei funktioniert und auch das Schreiben in eine gesonderte Datei war kein Mysterium. Bei den sftp-Einträgen eines sftp-Users wird es noch frustrierender, denn die kriege ich nicht einmal in die system.log.

 

[Olivetti]

und /etc/asl gibt's unter sierra gar nicht mehr?

 

[CyberTom]

Den Ordner /etc/asl/ gibt es natürlich - enthält einen Haufen com.apple.xxxxx, habe dabei ein paar angeschaut, aber nichts hilfreiches gefunden -, /etc/asl.conf habe ich wie oben konfiguriert, aber es hat nicht geklappt.

Und das sind die Sachen die mich in der Apple-Welt manchmal gewaltig stören. Schafft man es allerdings solche Probleme zu lösen, hat man eine brauchbare Lösung. Bleibt nur die Frage wo ich entsprechende Dokumentationen/Informationen finde, um die tiefergehenden Probleme zu lösen.

 

[xentric]

Bin nicht sicher wie hilfreich das ist, hab kein OS X mehr. Twitter sagt:

? [= Sender sshd] [<= Level info] file /var/log/secure.log mode=0640 format=bsd

Stackexchange sagt (immerhin aus 2016):
http://apple.stackexchange.com/questions/215860/list-failed-login-attempts-on-yosemite

sshd logging is determined in /etc/asl/com.openssh.sshd.

In short, you need to touch a file and then send syslogd a HUP signal:
touch /var/run/com.openssh.sshd-asl-enabled
kill -HUP $(ps -ef | grep [s]yslogd | awk '{print $2}')

After that, you will find the logs in /var/log/sshd.log

Kommt mir das nur so vor, oder gibts bei Apple alle 2 Jahre n neuen Dienst, und generell nicht den, den es sonst überall gibt?

Edit: Fix autoformat crap :/

 

[Olivetti]

Kommt mir das nur so vor, oder gibts bei Apple alle 2 Jahre n neuen Dienst

ernstnehmen kann man das wirklich nicht mehr, was die treiben.
---
der stackexchange-link trifft zu bis 10.11 (com.openssh.sshd), deshalb schicke ich ihn ja auch so rum.

 

[CyberTom]

Bin nicht sicher wie hilfreich das ist, hab kein OS X mehr.

Danke fürs nachschauen. Das Problem bei Apple ist dass es kaum eine stetige (!) Weiterentwicklung gibt und viele Änderungen sehr abrupt (und auch undokumentiert) erfolgen. Von 10.8-10-10.11 konnte ich etliche Probleme mit Einsatz von einiger Lebenszeit lösen, seit Sierra habe ich allerdings Probleme die ich nicht lösen kann.

Wird wohl Zeit für eine nicht-Apple-Lösung. Ein Raspberry Pi mit entsprechender SD-Karte solle absolut ausreichen und insgesamt wesentlich günstiger als das Hobby "Apple" sein.