ホストコンピュータでCentOS 7を使用しています。 SSHを使用してマイコンピュータにログインするたびに、失敗したログイン試行回数に関するレポートが表示されます。全体のバナーは次のとおりです。
最後のログインに失敗しました:2019年5月24日金曜日03:58:45 EDT、ssh:nottyのxxxxで
最後に成功したログイン以降、121回の失敗したログインに失敗しました。
最後のログイン:2019年5月23日木曜日15:52:24 xxxxで
その後、これらの試みをブロックするためにfall2banをインストールしましたが、失敗したログイン数を報告する行が消えました。最初は、ボットがもはや私のコンピュータにログインしようとしないことを決めたかもしれませんし、失敗したログインの試みがなかったので、メッセージが消えたかもしれません。ところで、lastb最近になって多くの試みがあることに気づきました。見ようとしましたが、/var/log/secureファイルはもう存在しません。
私が理解したのは、/etc/pam.d/postloginログイン時にこのメッセージを表示する責任があります。ファイルの内容は次のとおりです。
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
session [success=1 default=ignore] pam_succeed_if.so service !~ gdm* service !~ su* quiet
session [default=1] pam_lastlog.so nowtmp showfailed
session optional pam_lastlog.so silent noupdate showfailed
これらの変化の原因をどのように知ることができますか?このメッセージをどのように検索しますか?
答え1
pam_tally2私のFedoraには、アクセス試行回数を数えるマニュアルページがあります。モジュールに加えて、現在の値を見つけるのと同じ名前のコマンドがありますが、 /var/log/tallylogその中に項目は表示されません。しかし、試してみることができます。
sudo pam_tally2 -u myusername
答え2
失敗したログインの試みは /var/log/secure にあります。
以下は例です
host-1-193 sshd[1644]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
May 24 18:23:46 host-1-193 sshd[1644]: Failed password for root from 10.200.0.1 port 29021 ssh2
May 24 18:23:49 host-1-193 sshd[1644]: Accepted password for root from 10.200.0.1 port 29021 ssh2
May 24 18:23:49 host-1-193 sshd[1644]: pa