Eines der Anzeichen dafür, dass ein Angreifer versucht, in ein System einzudringen, sind fehlgeschlagene Anmeldeversuche. Die Datei /var/log/faillog verfolgt fehlgeschlagene Authentifizierungsversuche. Der Befehl faillog liest diese Protokolldatei /var/log/faillog und zeigt Konten an, die seit dem letzten Fehlschlag keine erfolgreiche Anmeldung hatten.
Der Befehl „faillog -a“ listet alle fehlgeschlagenen Anmeldeversuche auf, einschließlich derer, die seitdem erfolgreich authentifiziert wurden.
faillog-Befehlsbeispiele
1. So zeigen Sie die Faillog-Datensätze für alle Benutzer an:
# faillog -a
(Wenn keine „/var/log/faillog“-Datei angezeigt wird, erstellen Sie sie)
2. So sperren Sie ein Konto für eine bestimmte Zeit in Sekunden nach einem Anmeldefehler:
# faillog -l 60 mike # faillog -ul 60 mike
3. So stellen Sie die maximale Anzahl von Anmeldefehlern ein:
# faillog -m 10 mike # faillog --maximum 10 mike
4. So setzen Sie die Zähler für Anmeldefehler zurück:
# faillog -r mike # faillog -ur mike # faillog --reset mike
5. So zeigen Sie Faillog-Datensätze an, die jünger als TAGE sind:
# faillog -t 5 mike # faillog --time DAYS mike
6. So zeigen Sie die Fehlerprotokollaufzeichnung an oder verwalten Fehlerzähler und Grenzwerte:
# faillog -u mike # faillog --user LOGIN|RANGE mike
7. So rufen Sie die Hilfe für das Fehlerprotokoll auf:
# faillog -h # faillog --help
Das /var/log/faillog-Protokoll
Diese Protokolldatei enthält fehlgeschlagene Benutzeranmeldungen. Dies kann sehr wichtig sein, wenn versucht wird, in das System einzudringen. Normalerweise hat ein normaler Benutzer gelegentlich ein oder zwei fehlgeschlagene Anmeldeversuche. Zahlreiche fehlgeschlagene Anmeldeversuche oder sogar häufige fehlgeschlagene Anmeldeversuche, die zu unterschiedlichen Zeiten auftreten, können ein Hinweis darauf sein, dass jemand versucht, den Zugriff auf das System zu kompromittieren. Beachtenswert sind auch die Zeiten fehlgeschlagener Anmeldeversuche. Wenn ein Mitarbeiter normalerweise von 8:00 bis 17:00 Uhr arbeitet und es um 23:00 Uhr fehlgeschlagene Anmeldeversuche gibt, kann das ein Warnzeichen sein.
Wie verwende ich das Faillog, um fehlgeschlagene Anmeldeversuche zu verfolgen?
1. Öffnen Sie die Datei /etc/pam.d/system-auth zum Bearbeiten.
Fügen Sie die folgenden Zeilen hinzu:
auth required pam_tally.so no_magic_root account required pam_tally.so deny=2 no_magic_root
2. Speichern Sie die Datei und beenden Sie sie.
3. Testen Sie die Konfiguration, indem Sie versuchen, sich als normaler Benutzer anzumelden, aber ein falsches Passwort verwenden.
4. Überprüfen Sie die fehlgeschlagenen Zählererhöhungen, indem Sie den folgenden Befehl ausführen:
# faillog -u [username]
Die fehlgeschlagene Anmeldung wird standardmäßig in /var/log/faillog in einem bestimmten Binärformat aufgezeichnet, und das Dienstprogramm faillog kann nur /var/log/faillog parsen, um die fehlgeschlagenen Anmeldungen abzurufen. Wir haben keine Möglichkeit, ein Faillog zum Lesen von Protokollen an anderen Stellen zu erstellen.