监控Linux上的登录尝试失败

Linux服务器上的重复失败的登录尝试可以指示某人试图闯入帐户，或者可能只意味着有人忘记了他们的密码或者是错误的。在此帖子中，我们查看如何检查登录尝试失败并检查您的系统设置，以查看帐户何时将锁定以处理问题。

您需要知道的第一件事之一是如何检查登录是否失败。下面的命令查看失败登录的指示/var/log/auth.log.Ubuntu和相关系统中使用的文件。当有人尝试使用错误或拼写错误的密码登录时，失败的登录将显示在下面的行中：

$ sudo grep“密码失败”/var/log/auth.log |Head -3 11月17日15:08:39 localhost sshd [621893]：Nemo的失败从192.168.0.7端口8132 SSH2 11月17日15:09:13 localhost sshd [621893]：从192.168.0.7端口的Nemo密码失败SSH2.

您可以通过以下命令总结失败的登录的实例：

$ sudo grep“密码失败”/var/log/auth.log |grep -v命令|awk'{打印$ 9}'|排序|UNIQ -C 22 NEMO 1 SHS 2次：

该命令总结了用户名（Grep输出中的第九列）的失败登录。它避免查看包含“命令”单词的行，以跳过包含“失败密码”短语（例如运行上面运行的命令的命令的查询）。“次数：”字符串表明，比报告的数字更重复尝试。这些来自包含“重复的消息重复的消息：”在快速连续时输入密码时可能会添加到日志文件中。

您可能要检查的另一件事是失败的登录尝试来自于此。为此，更改您从第九到第十一的字段，如此示例中：

$ sudo grep“密码失败”/var/log/auth.log |grep -v命令|awk'{打印11美元}'|排序|UNIQ -C 23 192.168.0.7

例如，如果您从单个系统看到多个用户的失败登录，可能会特别可疑。

在Rhel，CentOS和相关系统中，您将找到与失败登录相关的消息/ var / log / secure文件。您可以使用基本相同的查询，如上所示获得计数。只需更改文件名如下所示：

$ sudo grep“失败密码”/ var / log / secure |awk'{打印$ 9}'|排序|UNIQ -C 6 NEMO

检查设置/etc/pam.d/password-auth.和/etc/pam.d/system-auth.文件。添加如这些的行将强制执行您的设置。

检查faillog.

你可以看看小熊命令，但这个命令看起来/ var / log / faillog这些天似乎没有在许多系统上使用的文件。如果你使用faillog -a.命令并获取如下图所示的输出列表12/31/69，如时列，它清楚了这个文件是不正在使用。

$ faillog -a登录失败最大限度最新在root 0 0 12/31/69 19:00:00 -0500守护进程0 0 12/31/69 19:00:00 -0500 bin 0 0 12/31/69 19:00：00 -0500 SYS 0 0 12/31/69 19:00:00 -0500

显示的日期和时间是指unix的开头（01/01/70） - 可能纠正了本地时区。如果运行下面显示的命令，则可以验证文件不为空，但不包含实际数据：

$ ls -l / var / log / faillog -rw-r  -  r-- 1根root 32576 11月12日12:12 / var / log / faillog $ od -bc / var / log / faillog 0000000 000 000 000 000000 000 000 000 000 000 000 000 000 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0

如果是小熊文件实际使用，您应该看到最近的活动，没有参考于1969年。

如何回应

由于许多原因，无法发生失败的登录。可能是您的一个用户试图使用CAPS-LOCK键登录并没有注意到。也许他们最近改变了他们的密码并忘了他们所做的那样，正在尝试旧的。也许他们正在尝试他们在不同的系统上使用的密码。如果一个特定的帐户经常在运行查询时会出现，您可能会调查。但是，偶尔失败的登录尝试是相当普遍的。

检查您的设置

要查看系统如何设置为处理失败的登录，请查看/etc/pam.d/common-auth文件。它在使用Linux可插拔身份验证模块（PAM）的系统上使用。此文件中的两个设置控制在帐户暂时锁定之前将容忍失败的登录尝试，并且帐户将被锁定多长时间。

像这样的一条线将在六次失败失败后锁定帐户。锁定将持续五分钟（300秒）。

Auth需要pam_tally2.so deny = 6解锁= 300

包起来

偶尔的失败登录将是预期的，但熟悉系统如何配置和运行查询时仍然是一个好主意，以便在发生这种活动的情况下掌握句柄。一个好方法是为了运行查询作为一个cr工作并将输出发送给自己。