監測Linux上失敗的登入嘗試方法分享
登入失敗可能是正當的人為錯誤,也可能是企圖闖入 的嘗試,但無論怎樣,它們都可能標記出了值得關注的舉動。 |
在 伺服器上重複的失敗登入嘗試可能表明有人企圖闖入帳戶,或者僅僅意味著有人忘了密碼或輸錯密碼。本文介紹瞭如何檢查失敗的登入嘗試並檢查系統的設定,檢視何時鎖住帳戶以處理問題。
您要了解的第一件事是如何檢查登入是否失敗。以下 在Ubuntu和相關係統上使用的/var/log/auth.log檔案中查詢登入失敗的跡象。有人嘗試使用錯誤或拼錯的密碼登入時,失敗的登入將顯示以下行:
$ sudo grep "Failed password" /var/log/auth.log | head -3 Nov 17 15:08:39 localhost sshd[621893]: Failed password for nemo from 192.168.0.7 port 8132 ssh2 Nov 17 15:09:13 localhost sshd[621893]: Failed password for nemo from 192.168.0.7 port 8132 ssh2
您可以使用這樣的 按帳戶彙總失敗登入的情況:
$ sudo grep "Failed password" /var/log/auth.log | grep -v COMMAND | awk '{print $9}' | sort | uniq -c 22 nemo 1 shs 2 times:
該命令按使用者名稱(grep輸出的第9列)彙總失敗的登入。它避免了檢視含有“COMMAND”一詞的行,跳過含有“Failed passwords”短語的查詢(比如執行上面執行的命令的人)。 “times:”字串表明重複嘗試的次數比報告的次數還多。這些來自含有“訊息重複5次:”的行,快速連續多次輸錯密碼後,這些行可能被新增到日誌檔案中。
您可能要檢查的另一個方面是失敗的登入嘗試來自何處。為此,如本例所示,將您關注的欄位從第九個更改為第十一個:
$ sudo grep "Failed password" /var/log/auth.log | grep -v COMMAND | awk '{print $11}' | sort | uniq -c 23 192.168.0.7
比如說,如果您發現多個使用者的失敗登入來自單單一個系統,這可能特別可疑。
在RHEL、 和相關係統中,您可以在/var/log/secure檔案中找到與失敗登入有關的訊息。您可以使用與上述基本相同的查詢來計數。只需更改檔名,如下所示:
$ sudo grep "Failed password" /var/log/secure | awk '{print $9}' | sort | uniq -c 6 nemo
核查/etc/pam.d/password-auth和/etc/pam.d/system-auth中的設定。新增這樣的行將強制執行您的設定。
您可能關注過faillog命令,但是該命令檢視的/var/log/faillog檔案如今似乎在許多系統上並沒有使用。如果您使用faillog -a命令,會得到類似如下所示的在時間列中列出12/31/69的輸出,很明顯該檔案並未使用。
$ faillog -a Login Failures Maximum Latest On root 0 0 12/31/69 19:00:00 -0500 daemon 0 0 12/31/69 19:00:00 -0500 bin 0 0 12/31/69 19:00:00 -0500 sys 0 0 12/31/69 19:00:00 -0500
顯示的日期和時間可以追溯到Unix的開始(01/01/70)――可能針對本地時區進行了更正。如果您執行下面顯示的命令,可以證實檔案不是空的,但不包含實際資料:
$ ls -l /var/log/faillog -rw-r--r-- 1 root root 32576 Nov 12 12:12 /var/log/faillog $ od -bc /var/log/faillog 0000000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 * 0077500
如果faillog檔案確實在使用中,您應該會看到最近的活動,並不提及1969錯誤提示。
失敗登入的原因有很多。可能是您的一個使用者在大寫鎖定鍵開啟的情況下試圖登入,卻沒有注意到。也許使用者最近更改了密碼,卻忘了更改密碼這回事,嘗試使用舊密碼。也許使用者在嘗試在其他系統上使用的密碼。如果您在執行查詢時經常出現某個特定的帳戶,應調查一下。然而,偶爾失敗的登入嘗試很常見。
要檢視系統如何經過設定來處理失敗的登入,請檢查/etc/pam.d/common-auth。它用於帶有Linux可插拔身份驗證模組(PAM)的系統。該檔案中的兩個設定控制著暫時鎖定帳戶之前允許多少次失敗的登入嘗試以及鎖住該帳戶多長時間。
六次失敗的登入嘗試後,這樣一行將使PAM鎖住帳戶。鎖住時間將持續五分鐘(300秒)。
auth required pam_tally2.so deny=6 unlock_time=300
原文地址:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31559985/viewspace-2740921/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- jquery圖片直接貼上上傳的失敗嘗試jQuery
- gitment 登入失敗Git
- SSH 登入失敗:Host key verification failed 的處理方法AI
- win10應用商店登入失敗的解決方法Win10
- 在輕量應用伺服器上的學習日誌(嘗試失敗了)伺服器
- 分享一篇Linux ipv6模組載入失敗解決方法Linux
- postgresql登入失敗怎麼辦SQL
- docker login 登入harbor失敗Docker
- SQL登入失敗注意事項SQL
- pbootcms後臺“登入失敗:表單提交校驗失敗,請重新整理後重試”boot
- TestNG測試框架之失敗測試重跑框架
- 【爛KDE】Linux登入時使用者密碼正確,卻登入失敗Linux密碼
- pbootcms後臺出現"登入失敗:登入失敗次數太多已被鎖定,請600s重試!" 情況,怎麼辦?boot
- 在JavaScript中實現LINQ——一次“失敗”的嘗試JavaScript
- 一次失敗的App安全測試APP
- linux系統重灌導致免密碼key登入失敗Linux密碼
- sql無法開啟使用者預設資料庫,登入失敗,使用者‘sa’登入失敗,錯誤:4064的解決方法SQL資料庫
- laravel社會化登入 iframe微信網頁登入失敗的問題Laravel網頁
- 無法開啟登入所請求的資料庫,登入失敗資料庫
- ssh免密碼登入失敗解決密碼
- ssh無密碼登入認證失敗密碼
- Python做介面測試生成測試報告失敗Python測試報告
- 安全管理:polardb密碼嘗試登入控制密碼
- 軟體測試是失敗者的賭注
- keycloak~登入皮膚動態切換的嘗試
- XP中“登入失敗:未授予使用者在此計算機上的請求登入型別”的解決計算機型別
- Windows開啟關閉測試模式的方法(含開啟測試模式失敗的解決辦法)Windows模式
- win10系統安全登入失敗初始化失敗如何解決Win10
- 啟用系統登入失敗處理功能
- selinux導致sqlplus登入失敗LinuxSQL
- 自動化測試實戰技巧:「用例失敗重試機制」實現方案分享
- win10電腦提示L2TP連線嘗試失敗怎麼辦_win10提示L2TP連線嘗試失敗解決步驟Win10
- 關於XP中“登入失敗:未授予使用者在此計算機上的請求登入型別”的解決計算機型別
- PbootCMS出現登入失敗,表單提交校驗失敗等情況怎麼辦?boot
- Cypress系列(65)- 測試執行失敗自動重試
- PBOOTCMS後臺出現“登入失敗:表單提交校驗失敗,重新整理後重試!”等情況怎麼辦?boot
- 軟體測試之登入測試詳解
- 雲端計算之路-試用Azure:一次失敗的SQL Server向SQL Azure的遷移嘗試SQLServer