호스트 컴퓨터에서 CentOS 7을 사용하고 있습니다. SSH를 사용하여 내 컴퓨터에 로그인할 때마다 실패한 로그인 시도 횟수에 대한 보고서가 나타납니다. 전체 배너는 다음과 같습니다.
마지막 로그인 실패: 2019년 5월 24일 금요일 03:58:45 EDT, ssh:notty의 xxxx에서
마지막으로 성공한 로그인 이후 121번의 실패한 로그인 시도가 있었습니다.
마지막 로그인: 2019년 5월 23일 목요일 15:52:24 xxxx에서
그런 다음 이러한 시도를 차단하기 위해 fall2ban을 설치했는데 실패한 로그인 수를 보고하는 줄이 사라졌습니다. 처음에는 봇이 더 이상 내 컴퓨터에 로그인을 시도하지 않기로 결정했을 수도 있고 실패한 로그인 시도가 없었기 때문에 메시지가 사라졌을 수도 있다고 생각했습니다. 그런데 lastb최근 들어 많은 시도가 있다는 것을 깨달았습니다 . 보려고 했지만 /var/log/secure파일이 더 이상 존재하지 않습니다.
내가 이해한 바로는 /etc/pam.d/postlogin로그인 시 이 메시지를 표시하는 책임이 있습니다. 파일 내용은 다음과 같습니다.
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
session [success=1 default=ignore] pam_succeed_if.so service !~ gdm* service !~ su* quiet
session [default=1] pam_lastlog.so nowtmp showfailed
session optional pam_lastlog.so silent noupdate showfailed
이러한 변화의 원인을 어떻게 알 수 있나요? 이 메시지를 어떻게 검색하나요?
답변1
pam_tally2내 Fedora에는 액세스 시도 횟수를 계산하는 매뉴얼 페이지가 있습니다 . 모듈 외에도 에서 현재 값을 찾는 동일한 이름의 명령이 있지만 /var/log/tallylog그 안에 항목이 표시되지 않습니다. 그러나 시도해 볼 수 있습니다.
sudo pam_tally2 -u myusername
답변2
실패한 로그인 시도는 /var/log/secure에서 찾을 수 있습니다.
아래는 예시입니다
host-1-193 sshd[1644]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
May 24 18:23:46 host-1-193 sshd[1644]: Failed password for root from 10.200.0.1 port 29021 ssh2
May 24 18:23:49 host-1-193 sshd[1644]: Accepted password for root from 10.200.0.1 port 29021 ssh2
May 24 18:23:49 host-1-193 sshd[1644]: pa