Wo genau finde ich bei Mac OS X Tiger eigentlich die Logs des SSH daemons? Also wo ich etwa sehen kann, wer sich wann via SSH eingelogt bzw. das versucht hat? Danke für sachdienliche Hinsweise.

so siehts aus wenn dauernd versucht wird den Server zu knacken:
Oct 11 06:24:34 squid sshd[11496]: input_userauth_request: illegal user bulleri
Oct 11 06:24:34 squid sshd[11496]: Failed password for illegal user bulleri from 217.172.182.220 port 59648 ssh2
Oct 11 06:24:34 squid sshd[11496]: Received disconnect from 217.172.182.220: 11: Bye Bye
Oct 11 06:24:35 squid sshd[11497]: input_userauth_request: illegal user fpalmili
Oct 11 06:24:35 squid sshd[11497]: Failed password for illegal user fpalmili from 217.172.182.220 port 59696 ssh2
Oct 11 06:24:35 squid sshd[11497]: Received disconnect from 217.172.182.220: 11: Bye Bye
Oct 11 06:24:35 squid sshd[11498]: input_userauth_request: illegal user brunetti
Oct 11 06:24:35 squid sshd[11498]: Failed password for illegal user brunetti from 217.172.182.220 port 59724 ssh2
Oct 11 06:24:35 squid sshd[11499]: input_userauth_request: illegal user reder
Oct 11 06:24:35 squid sshd[11499]: Failed password for illegal user reder from 217.172.182.220 port 59726 ssh2
Oct 11 06:24:35 squid sshd[11500]: input_userauth_request: illegal user audio

das ist allerdings eine Linux-Maschine - unter OS X liegen die ssh-Logs unter /var/log/messages - da hat dieter recht

Die fehlgeschlagenen findest Du in /var/log/system.log
Einen erfolgreichen Login wüste ich kein Logging, aber wenn Du mal durch "man sshd" blätterst, dann wird versucht eine Reihe von Scripten abzuarbeiten, wenn man sich erfolgreich angemeldet hat. Das kann man auch für ein Logging nutzen!

Von MacOSXhints.ch


10.4: Protokoll der ssh-Anmeldungen wieder herstellen

Mit der Einführung von 10.4 hat Apple die Standardeinstellung für die Protokollierung der ssh-Anmeldungen geändert. Ich habe auf meinem Computer zu Hause den Zugriff über ssh ermöglicht, damit ich von der Arbeit auf meinen Computer zugreifen kann. Bisher hatte ich immer ein Auge auf das Protokoll der Login-Versuche über ssh, da darin jeweils zahlreiche Einbruchsversuche verzeichnet sind. (Vgl. dazu auch diesen (englischen) Hint.)

Nach der Installation von Tiger waren plötzlich keine ssh-Anmeldungen mehr protokolliert, was mir ziemlich sonderbar vorkam. Nach einigem Suchen fand ich heraus, dass Apple das Protokoll-System geändert hat und offenbar noch weitere Änderungen vorhat. Für genauere Informationen können Sie man syslogd ins Terminal eintippen. Fazit daraus ist, dass in der Konfigurationsdatei /etc/syslog.conf eingetragen werden muss, welcher Dienst wann und wo protokolliert werden soll. Eine ausführlichere Anleitung finden Sie in den Man-Pages unter man syslog.conf.

In der Konfigurationsdatei des ssh-Servers /etc/sshd_config finden Sie unter anderem den folgenden Eintrag:

# Logging
#obsoletes QuietMode and FascistLogging
#SyslogFacility AUTH
#LogLevel INFO

Aus diesen Zeilen können Sie die Einstellungen für die Protokollierung der ssh-Anmeldungen entnehmen. Wichtig sind der Herkunftscode ("AUTH" für Authentifizierung, Login) und die Priorität ("INFO" für Informationen über alltägliche Ereignisse). Diese Angaben müssen Sie nun in die Protokoll-Konfigurationsdatei übertragen. Öffnen Sie dazu mit sudo und einem Texteditor die Datei /etc/syslog.conf und beachten Sie die zweite Zeile:

*.notice;authpriv,remoteauth,ftp,install.none;kern.debug;mail.crit /var/log/system.log

In diese Zeile fügen Sie nun ;auth.info ein, und zwar unmittelbar nach ;mail.crit und noch vor dem Tabulator-Abstand, auf den dann /var/log/system.log folgt. Sichern Sie die Datei und starten Sie den Computer neu (unschön) oder starten Sie den syslog-Dämon neu mit folgendem Terminalbefehl:

sudo kill -HUP `cat /var/run/syslog.pid`

(Was aussieht wie einfache Anführungszeichen sind Backticks, bei mir gleich unterhalb den Tasten F11 und F12.) Damit haben Sie die Konfigurationsdatei syslog.conf so angepasst, dass Login-Anfragen auf der Stufe "info" und höher in der Logdatei des Systems aufgezeichnet werden. Anschliessend haben Sie den Syslog-Dämon angewiesen, die geänderte Konfiguration neu zu laden. Damit werden die Login-Versuche wieder in Ihrer Logdatei aufgezeichnet.

[robg: Ich habe diesen Hint getestet, und er funktioniert! Sobald ich die Konfigurationsdatei geändert und den Dämon neu gestartet hatte, wurden die Login-Versuche wieder protokolliert.]