最近私はaureportツールを探してきましたが、その出力と動作は次のようになりました。
たとえば、次のコマンドを実行します。
# aureport --failed
次のコードスニペットを表示します。
Failed Summary Report
======================
Number of failed logins: 11783
Number of failed authentications: 41679
2つの違いは何ですか?マニュアルページもあまり役に立ちません。
-l, --login ログインに関する情報を報告します。
-au、--auth認証試行に関する情報を報告します。
認証失敗とログイン失敗の違いは何ですか?見つけることができるすべての文書を見ましたが、違いを説明する文書はありません。
修正する:
いくつかのテストを行いましたが、これまでに見つけたものは次のとおりです。
無効なユーザー名でボックスにSSHを介して接続しようとすると、ログインに失敗した1回、認証に失敗した3回が発生します。
ユーザー名は正しいですが、パスワードが間違っているボックスでSSHを試みると、ログイン失敗1回と認証失敗2回が発生します。
まだ働いています...
答え1
さて、私はこれを解読したと信じています:
ログインに成功すると、1つのログインと2つの認証が生成されます(PAM用1個、sshd用1個)。
type=USER_AUTH msg=audit(1526764807.252:118047): pid=25901 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=pam_unix acct="root" exe="/usr/sbin/sshd" hostname=172.16.1.10 addr=172.16.1.10 terminal=ssh res=success'
type=USER_AUTH msg=audit(1526764807.261:118050): pid=25901 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=success acct="root" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.10 terminal=ssh res=success'
type=USER_LOGIN msg=audit(1526764807.488:118058): pid=25907 uid=0 auid=0 ses=16568 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=172.16.1.10 addr=172.16.1.10 terminal=/dev/pts/1 res=success'
ただし、ログイン失敗はさまざまな要因によって異なります。私の場合、間違ったユーザー名とパスワードを入力してログインしました。これにより、1つのログイン失敗と3つの認証失敗メッセージが生成されました(公開鍵の試行1件、パスワード1件、sshd 1件)。
type=USER_AUTH msg=audit(1526765733.046:118093): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=pubkey acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'
type=USER_AUTH msg=audit(1526765734.217:118094): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="incorrectuser" exe="/usr/sbin/sshd" hostname=172.16.1.101 addr=172.16.1.101 terminal=ssh res=failed'
type=USER_AUTH msg=audit(1526765736.654:118095): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=password acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'
type=USER_LOGIN msg=audit(1526765737.144:118101): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'
したがって、デフォルトでsshオプションを使用してパスワードログインを強制し、公開鍵の使用を省略すると、3つではなく2つの認証メッセージのみが受信されます。
この問題を「解決済み」と表示します。しかし、誰もがこれについてより深く議論する参照文書があれば、とても嬉しく思います。