Системный журнал определенно подходит для этого. То, как вы пишете правила, зависит от того, используете ли вы rsyslog или syslog-ng, но для syslog-ng добавьте следующее в файл /etc/syslog-ng/syslog-ng.conf
.
destination ssh_auth_fail { file("/path/to/file.log"); };
filter f_ssh_auth_fail { message("regex to match desired lines"); };
log { source(src); filter(f_ssh_auth_fail); destination(ssh_auth_fail); };
Судя по свидетельству :, /dev/sda2
изначально был смонтирован как/
(корень файловой системы ).Но fstab был полностью отключен, и основное монтирование выполняется в вашем файле сценария my_init
. Там первое монтирование добавляет полный /dev/sda2
, который содержит исходную корневую файловую систему, следующая строка монтируется к тому же /home/
, только /home/home/
с опцией --bind
, чтобы скрыть остальную часть исходной корневой файловой системы. Если вы сделаете umount /home/
один раз, вы должны увидеть (, как я написал ), всю исходную корневую файловую систему в папке /home/
, т.е. ls /home/ затем дает:bin boot dev etc home...
Не спрашивайте меня, почему кто-то так поступил.