为了小鸡的安全考虑，本站之前专门写了一篇文章介绍SSH多次登录失败后限制IP，当时只在Debian9和10上运行，最近安装了Debian12，发现没有auth.log文件，导致没有收集到一些黑ip记录。检索Debian12官方说明文档“第 5 章 bookworm 中需要注意的问题”，发现“从 bookworm 开始，不再默认安装rsyslog。如果您不想继续使用rsyslog，在升级完成后您可以先运行”，这就导致了一部分日志需要重新安装rsyslog后才能生成，其中就包括了ssh登录日志，因此我们只需要安装一下rsyslog就行了。

一、新建auth.log文件
在ssh终端里输入以下命令，新建一个auth.log日志文件，日志文件一般在/var/log目录，但不限于此，你可以自行修改目录。

touch /var/log/auth.log

二、安装rsyslog

apt-get install rsyslog

三、设置auth.log文件

编辑syslog文件

nano /etc/syslog.conf

在/etc/syslog.conf里添加一行

auth,authpriv.* -/var/log/auth.log

四、启动并启用 rsyslog 服务

systemctl start rsyslog
systemctl enable rsyslog

五、确认 rsyslog 服务是否运行

systemctl status rsyslog

六、重启ssh服务

systemctl restart sshd

或者直接root重启小鸡。