監測Linux上失敗的登錄嘗試

2020-12-11 51CTO

在Linux伺服器上重複的失敗登錄嘗試可能表明有人企圖闖入帳戶,或者僅僅意味著有人忘了密碼或輸錯密碼。本文介紹了如何檢查失敗的登錄嘗試並檢查系統的設置,查看何時鎖住帳戶以處理問題。

您要了解的第一件事是如何檢查登錄是否失敗。以下命令在Ubuntu和相關系統上使用的/var/log/auth.log文件中查找登錄失敗的跡象。有人嘗試使用錯誤或拼錯的密碼登錄時,失敗的登錄將顯示以下行:

$ sudo grep "Failed password" /var/log/auth.log | head -3 Nov 17 15:08:39 localhost sshd[621893]: Failed passwordfor nemo from 192.168.0.7 port 8132 ssh2 Nov 17 15:09:13 localhost sshd[621893]: Failed passwordfor nemo from 192.168.0.7 port 8132 ssh2

您可以使用這樣的命令按帳戶匯總失敗登錄的情況:

$ sudo grep "Failed password" /var/log/auth.log | grep -v COMMAND | awk '{print $9}' | sort | uniq -c 22 nemo 1 shs 2 times:

該命令按用戶名(grep輸出的第9列)匯總失敗的登錄。它避免了查看含有「COMMAND」一詞的行,跳過含有「Failed passwords」短語的查詢(比如運行上面運行的命令的人)。 「times:」字符串表明重複嘗試的次數比報告的次數還多。這些來自含有「消息重複5次:」的行,快速連續多次輸錯密碼後,這些行可能被添加到日誌文件中。

您可能要檢查的另一個方面是失敗的登錄嘗試來自何處。為此,如本例所示,將您關注的欄位從第九個更改為第十一個:

$ sudo grep "Failed password" /var/log/auth.log | grep -v COMMAND | awk '{print $11}' | sort | uniq -c 23 192.168.0.7

比如說,如果您發現多個用戶的失敗登錄來自單單一個系統,這可能特別可疑。

在RHEL、Centos和相關系統中,您可以在/var/log/secure文件中找到與失敗登錄有關的消息。您可以使用與上述基本相同的查詢來計數。只需更改文件名,如下所示:

$ sudo grep "Failed password" /var/log/secure | awk '{print $9}' | sort | uniq -c 6 nemo

核查/etc/pam.d/password-auth和/etc/pam.d/system-auth文件中的設置。添加這樣的行將強制執行您的設置。

檢查faillog

您可能關注過faillog命令,但是該命令查看的/var/log/faillog文件如今似乎在許多系統上並沒有使用。如果您使用faillog -a命令,會得到類似如下所示的在時間列中列出12/31/69的輸出,很明顯該文件並未使用。

$ faillog -a Login Failures Maximum Latest Onroot 0 0 12/31/69 19:00:00 -0500 daemon 0 0 12/31/69 19:00:00 -0500 bin 0 0 12/31/69 19:00:00 -0500 sys 0 0 12/31/69 19:00:00 -0500

顯示的日期和時間可以追溯到Unix的開始(01/01/70)――可能針對本地時區進行了更正。如果您運行下面顯示的命令,可以證實文件不是空的,但不包含實際數據:

$ ls -l /var/log/faillog -rw-r--r-- 1 root root 32576 Nov 12 12:12 /var/log/faillog $ od -bc /var/log/faillog 0000000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 * 0077500

如果faillog文件確實在使用中,您應該會看到最近的活動,並不提及1969錯誤提示。

如何回應?

失敗登錄的原因有很多。可能是您的一個用戶在大寫鎖定鍵開啟的情況下試圖登錄,卻沒有注意到。也許用戶最近更改了密碼,卻忘了更改密碼這回事,嘗試使用舊密碼。也許用戶在嘗試在其他系統上使用的密碼。如果您在運行查詢時經常出現某個特定的帳戶,應調查一下。然而,偶爾失敗的登錄嘗試很常見。

檢查設置

要查看系統如何經過設置來處理失敗的登錄,請檢查/etc/pam.d/common-auth文件。它用於帶有Linux可插拔身份驗證模塊(PAM)的系統。該文件中的兩個設置控制著暫時鎖定帳戶之前允許多少次失敗的登錄嘗試以及鎖住該帳戶多長時間。

六次失敗的登錄嘗試後,這樣一行將使PAM鎖住帳戶。鎖住時間將持續五分鐘(300秒)。

auth required pam_tally2.so deny=6 unlock_time=300

相關焦點

  • 如何監測Linux上失敗的登錄嘗試
    【51CTO.com快譯】在Linux伺服器上重複的失敗登錄嘗試可能表明有人企圖闖入帳戶,或者僅僅意味著有人忘了密碼或輸錯密碼。本文介紹了如何檢查失敗的登錄嘗試並檢查系統的設置,查看何時鎖住帳戶以處理問題。
  • 《王者榮耀》微信登錄失敗怎麼辦 登錄失敗請稍後再試解決辦法
    導 讀 王者榮耀微信登錄失敗,王者榮耀微信登錄失敗請稍後再試,經常有玩家在登錄遊戲時遇到登錄失敗請稍後再試這種情況
  • 《partyanimals》登錄失敗怎麼解決 登錄失敗解決教程
    導 讀 動物派對登錄失敗怎麼辦?party animals登錄失敗解決方法是什麼?
  • 使用密鑰認證機制遠程登錄linux
    這事我們就需要遠程登錄到Linux伺服器來管理維護系統。Linux系統中是通過ssh服務實現的遠程登錄功能,默認ssh服務埠號為 22。Window系統上 Linux 遠程登錄客戶端有SecureCRT, Putty, SSH Secure Shell等,本文以Putty為例來登錄遠程伺服器。1.首先使用工具 PUTTYGEN.EXE 生成密鑰對。
  • 在公司的電腦上QQ無法登錄有辦法解決嗎?嘗試解除限制過程分享
    今天有朋友發簡訊給我,說看了我分享的QQ無法登錄的視頻問題還是沒有解決,請求遠程協助。我問是她一個人登錄不了QQ,還是其它人也登錄不了,她說都登錄不了,再問她是否有用企業QQ,她說沒有,因為企業QQ也有限制QQ的設置。
  • 《動物派對》遊戲登錄失敗是怎麼回事 解決方法分享
    10萬大關,不過仍然還有一些小夥伴們還沒有成功進入遊戲,遇到了動物派對遊戲登錄失敗這一情況,這... 動物派對(party animals)是Steam上新晉熱門的一款多人對抗沙雕遊戲,其在線玩家數量已經突破10萬大關,不過仍然還有一些小夥伴們還沒有成功進入遊戲,遇到了動物派對遊戲登錄失敗這一情況,這究竟是怎麼一回事呢,接下來就和大家分享一下遊戲登錄失敗、進不去的原因以及解決方法。
  • 通過可寫入的etcpasswd文件實現Linux提權
    現在,我們將上傳linuxprivchecker.py python腳本來查看,目標系統上可能存在的錯誤配置。我們使用wget(或web get)將文件下載到目標伺服器。默認情況下,Python已在所有linux機器上安裝。我們將使用以下命令來運行枚舉腳本。
  • iCloud經歷短時宕機 用戶遭遇登錄和驗證失敗等問題
    數小時前,蘋果 iCloud 服務遭遇了驗證功能的短時宕機,導致一些用戶的屏幕上彈出了「您選擇的應用程式並不存在」等報錯信息。 由於存在一定的延時,我們並未在事發第一時間的蘋果系統狀態頁面上找到故障出現的確切原因,不過現在已認定與 iCloud 的帳戶登錄問題有關。
  • steam短期內來自您網絡的失敗登錄過多 解決方案
    steam短期內來自您網絡的失敗登錄過多,我相信近期很多玩家都已經遇到這種問題了吧,其實解決的方法並不難,下面由我帶給大家steam短期內來自您網絡的失敗登錄過多的解決方案。方法1打開steam的官方網站,然後登入自己的帳號,切記不要關閉網站;詳情參考下圖這個時候不要關閉網頁,然後我們打開steam輸入帳號密碼登入即可;詳情參考下圖方法2首先我們將電腦自身的時鐘進行時間同步,然後嘗試登入
  • 3個學生的linux視頻學習筆記
    講解Linux系統的一些特點(交互式、多用戶)和基本命令(grep、管道、history、su切換用戶、登錄 : ssh 用戶名@ip地址 )top: 實時動態地查看系統的整體運行情況。2>    到官網下載以免安裝很多附帶的東西;3>    對於不熟悉的軟體,按默認選項(直接下一步)安裝即可;4>    R package安裝速度慢,嘗試換下載鏡像(可用清華的鏡像); P2 linux
  • Linux DNS 查詢剖析(第一部分) | Linux 中國
    遇到問題時,我只是不求甚解的使用 StackOverflow 上的「解決方案」,而不知道它們為什麼有時工作,有時不工作。最終我對此感到了厭倦,決定一併找出所有問題的原因。我沒有在網上找到完整的指南,我問過一些同事,他們不知所以然(或許是問題太具體了)。既然如此,我開始自己寫這樣的手冊。
  • 《lol手遊》登錄失敗解決教程 全錯誤代碼異常解決方法
    導 讀 LOL手遊could not connect to the server這款英文錯誤代碼的意思就是連接伺服器失敗
  • 理解監測指標,並使用 Python 去監測它們 | Linux 中國
    為什麼要監測?關於監測的主要原因是:指標和指標類型從我們的用途來看,一個指標就是在一個給定時間點上的某些數量的 測量 值。博客文章的總點擊次數、參與討論的總人數、在緩存系統中數據沒有被找到的次數、你的網站上的已登錄用戶數 —— 這些都是指標的例子。它們總體上可以分為三類:計數器以你的個人博客為例。
  • 選擇linux入門教程的三個原則。
    選擇linux入門教程的三個原則。最近網上有一篇文章很火,講的是一名醫生記錄的學習linux系統的經歷,看完之後馬上引起了我的強烈共鳴!原則1:先選擇最合適你的Linux系統這個世界中存在著數百款linux系統,即便每個都去安裝一遍也要幾個月的時間吧,如果能直接選擇到最適合你的作業系統,那麼能省下不少的時間,把精力用到有用的地方,而且你也就會有學習的目標了。
  • 王者榮耀微信登錄失敗,請稍後再試 登錄失敗解決方法
  • 蘋果激活伺服器驗證失敗遭遇用戶吐槽
    本文轉自【cnBeta.COM】;MacRumors 報導稱,許多蘋果用戶在聖誕節期間遇到了與激活有關的故障,比如新到手的 Apple Watch 智能手錶遇到了驗證失敗的問題。由蘋果服務運行監測站點的狀態頁可知,與「iCloud 帳戶和登錄」相關的問題已持續有段時間了。
  • linux各個目錄代表什麼
    passwd [-k][-l][-u [-f]][-d][-S][username]必要參數:-d 刪除密碼-f 強迫用戶下次登錄時必須修改口令路徑:linux系統中,所有的文件與目錄都是由根目錄/開始,不是以/開頭的就是相對路徑;.:表示當前目錄,也可以用./表示;..:表示上一級目錄,也可以用..
  • WinSCP軟體雙系統(Win-Linux)文件傳輸教程
    WinSCP軟體是windows下的一款使用ssh協議的開源圖形化SFTP客戶端,也就是一個文件傳輸的軟體,它有什麼優點嗎,咱們嵌入式開發中經常會將windows中的文件複製到linux系統當中,比較常用的方式就是添加共享文件夾,每次通過添加的共享文件夾來相互傳輸文件,這裡介紹的是一款能夠跨系統使用的文件傳輸軟體。
  • Linux入侵排查思路
    1)cat /etc/passwd查看是否有可疑帳號,一般該帳號是具有登錄權限的,正常用戶的宿主目錄一般都在/home目錄下為了能夠更快速的查看可登錄的帳號一般會採用cat /etc/passwd |grep "/bin/sh"cat /etc/passwd"/bin/bash"宿主目錄為 /var/
  • 嘗試將 Jed 作為你的 Linux 終端文本編輯器|Linux 中國
    本文字數:2802,閱讀時長大約:3分鐘 https://linux.cn/article-12901-1.html 作者:Seth Kenlon 譯者:geekpi 你可能聽說過 Emacs、Vim 和 Nano 這些典型的