Logins com falha podem ser erros humanos legítimos ou tentativas de hacker o seu sistema Linux, mas de qualquer forma eles podem sinalizar algo que merece atenção.
Tentativas de login mal sucedidas repetidas em um servidor Linux podem indicar que alguém está tentando entrar em uma conta ou pode apenas significar que alguém esqueceu a sua senha ou a digitou incorretamente. Nesta pastagem, veremos como você pode verificar as tentativas de login mal sucedidas e verificar as configurações do seu sistema para ver quando as contas serão bloqueadas para lidar com o problema.
Uma das primeiras coisas que você precisa saber é como verificar se os logins estão falhando. O comando abaixo procura, indicações de logins com falha no arquivo /var/log/auth.log usado no Ubuntu e sistemas relacionados. Quando alguém tenta fazer login com uma senha errada ou com erros ortográficos, os logins que falharam aparecerão como nas linhas abaixo:
$ sudo grep "Senha falhada" /var/log./auth.log. | cabeça -3
17 de novembro 15:08:39 localhost sshd [621 893]: Falha na senha do Nemo de 192.168.0.7 porta 8132 ssh2
17 de novembro 15:09:13 localhost sshd [621 893]: Falha na senha do Nemo de 192.168.0.7 porta 8132 ssh2
Você pode resumir as instâncias de logins com falha por conta com um comando como este:
$ sudo grep "Senha falhada" /var/log./auth.log. | grep -v COMANDO | awk '{print $9}' | sort | uniq -22 Nemo 1 shs 2 vezes:
Esse comando resume logins com falha por nome de usuário (nona coluna na saída do grep). Ele evita olhar as linhas que contêm a palavra “COMANDO” para pular as consultas que contêm a frase “Senhas com falha” (por exemplo, alguém executando o comando que foi executado acima). A string “times: “sugere que houve mais tentativas repetidas do que o número relatado. Elas vêm de linhas contendo “mensagem repetida 5, vezes: “que pode ser adicionada ao arquivo de log. quando uma senha é inserida incorretamente várias vezes em rápida sucessão.
$ sudo grep "Senha falhada" /var/log/auth.log | grep -v COMMAND | awk '{print $ 11}' | sort | uniq -c23 192.168.0.7
Outra coisa que você pode querer verificar é de onde vêm as tentativas de login mal sucedidas. Para isso, mude o campo que você está focando do nono para o décimo primeiro, como neste exemplo:
Pode ser especialmente suspeito, por exemplo, se você estiver vendo logins com falha para vários usuários de um único sistema.
Em RHEL, centos e sistemas relacionados, você encontrará as mensagens relacionadas a logins com falha no arquivo / var / log. / secure. Você pode usar basicamente a mesma consulta mostrada acima para obter uma contagem. Basta alterar o nome do arquivo conforme mostrado aqui:
$ sudo grep "Senha falhada" / var / log. / secure | awk '{print $9}' | sort | uniq -c 6 Nemo
Verifique as configurações nas /etc/pam.d/password-auth e /etc/pam.d/system-auth arquivos. Adicionar linhas como essas reforçará as suas configurações.
Verificando faillog
Você pode verificar o comando faillog , mas este comando examina o arquivo / var / log. / faillog que não parece ser usado em muitos sistemas atualmente. Se você usar o comando faillog -a e obter uma saída como a mostrada abaixo, listando 31/12/69 nas colunas de tempo, fica claro que este arquivo não está em uso.
$ faillog -a
Máximo de falhas de login mais recente em
root 0 0 12/31/69 19:00:00 -0500
daemon 0 0 12/31/69 19:00:00 -050 bin 0 0 12/31/69 19:00:00 -0500sys 0 0 12/31/69 19:00:00 -0500
As datas e horas mostradas referem-se ao início do Unix (01/01/70) – provavelmente corrigido para o fuso horário local. Se você executar os comandos mostrados abaixo, poderá verificar se o arquivo não está vazio, mas não contém dados reais:
$ ls -l / var / log. / faillog
— rw-r - r-- 1 root 32 576 12 de novembro 12:12 / var / log. / faillog
$ od -bc / var / log. / faillog
0000000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000
\ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0*
0077500
Se o arquivo faillog estiver realmente em uso, você deverá ver as actividades recentes e nenhuma referência a 1969.
Como responder
Logins com falha podem acontecer por vários motivos. Pode ser que um dos seus usuários tenha tentado fazer o login com a tecla Caps Lock activada e não tenha percebido. Talvez eles tenham mudado a senha recentemente e se esquecido de que fizeram isso e estejam tentando a antiga. Talvez eles estejam tentando a senha que usam em um sistema diferente. Se uma conta específica aparece com frequência quando você executa as suas consultas, você pode examiná-la. No entanto, uma tentativa ocasional de login com falha é bastante comum.