aureport에서 실패한 인증과 실패한 로그인의 차이점

tag-icon tag-icon linux security audit
aureport에서 실패한 인증과 실패한 로그인의 차이점

최근에 나는 aureport 도구를 탐색해 왔지만 그 출력과 동작이 다음과 같은 것을 발견했습니다.

예를 들어 다음 명령을 실행합니다.

# aureport --failed

다음 코드 조각을 표시합니다.

Failed Summary Report
======================
Number of failed logins: 11783
Number of failed authentications: 41679

둘 사이의 차이점은 무엇입니까? 매뉴얼 페이지도 별로 도움이 되지 않습니다.

-l, --login 로그인에 대한 정보를 보고합니다.

-au, --auth 인증 시도에 대한 정보를 보고합니다.

인증실패와 로그인실패의 차이점은 무엇인가요? 찾을 수 있는 모든 문서를 살펴봤지만 차이점을 설명하는 문서는 없습니다.

고쳐 쓰다:

몇 가지 테스트를 수행했으며 지금까지 찾은 내용은 다음과 같습니다.

  • 잘못된 사용자 이름으로 상자에 SSH를 통해 연결하려고 하면 로그인 실패 1회, 인증 실패 3회가 발생합니다.

  • 사용자 이름은 정확하지만 비밀번호가 잘못된 상자로 SSH를 시도하면 로그인 실패 1회와 인증 실패 2회가 발생합니다.

아직 작업 중이에요...

답변1

좋아, 나는 이것을 해독했다고 믿는다:

로그인에 성공하면 1개의 로그인과 2개의 인증이 생성됩니다(PAM용 1개, sshd용 1개).

type=USER_AUTH msg=audit(1526764807.252:118047): pid=25901 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=pam_unix acct="root" exe="/usr/sbin/sshd" hostname=172.16.1.10 addr=172.16.1.10 terminal=ssh res=success'
type=USER_AUTH msg=audit(1526764807.261:118050): pid=25901 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=success acct="root" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.10 terminal=ssh res=success'

type=USER_LOGIN msg=audit(1526764807.488:118058): pid=25907 uid=0 auid=0 ses=16568 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=172.16.1.10 addr=172.16.1.10 terminal=/dev/pts/1 res=success'

그러나 로그인 실패는 여러 요인에 따라 달라집니다. 제 경우에는 잘못된 사용자 이름과 비밀번호를 입력하여 로그인했습니다. 이로 인해 로그인 실패 1개와 인증 실패 메시지 3개가 생성되었습니다(공개 키 시도 1개, 비밀번호 1개, sshd 1개).

type=USER_AUTH msg=audit(1526765733.046:118093): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=pubkey acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'
type=USER_AUTH msg=audit(1526765734.217:118094): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="incorrectuser" exe="/usr/sbin/sshd" hostname=172.16.1.101 addr=172.16.1.101 terminal=ssh res=failed'
type=USER_AUTH msg=audit(1526765736.654:118095): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=password acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'    

type=USER_LOGIN msg=audit(1526765737.144:118101): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'

따라서 기본적으로 ssh 옵션을 사용하여 비밀번호 로그인을 강제하여 공개 키 사용을 생략하면 3개가 아닌 2개의 인증 메시지만 받게 됩니다.

이 문제를 "해결됨"으로 표시하겠습니다. 그러나 누구든지 이에 대해 더 깊이 논의하는 참조 문서가 있다면 매우 기쁘게 생각합니다.

관련 정보