Gentoo的sshd log

放在外网的机器，比较怕的是ssh的暴力破解，因此记录登录失败日志，并且借用一些攻击，比如sshguard等，或者写个脚本自动的把日志中尝试登录次数过多的IP加入到hosts.deny中比较明智。不过新装的Gentoo居然没有发现/var/log/auth.log这个日志文件？用Ubuntu和Redhat的时候都发现有的。查了一下网络，才发现是syslog-ng的配置问题。Gentoo默认的syslog-ng的配置中并没有配置些auth log的项，可以加上一下三行：

引用:

filter f_authpriv { facility(auth, authpriv); };
destination authlog { file("/var/log/auth.log"); };
log { source(src); filter(f_authpriv); destination(authlog); };

这样登录失败的尝试就可以被记录了。syslog-ng很好，有空还要好好学一下详细使用。

对于配置了iptables的用户，用sshguard的解决方案比较好，它自动的处理登录失败的尝试，并且在iptables拒绝尝试过多的IP，挺好的，不过他在gentoo上还是被hardened profile mask的。