Início / server / Perguntas / 1151505
Accepted
matteo-g
Asked: 2024-01-15 16:21:38 +0800 CST

O prompt de login relata 4 falhas de login, mas o log mostra apenas 1 entrada

  • 772

Acabei de fazer login no meu pequeno servidor doméstico e vi esta mensagem:

Last failed login: Sun Jan 14 17:08:42 CET 2024 from 192.168.1.111 on ssh:notty
There were 4 failed login attempts since the last successful login.

Mudei para o usuário root e executei

root@homeserver ~]# egrep "Failed|Failure" /var/log/secure
Jan 14 17:08:42 homeserver sshd[4906]: Failed password for invalid user podman from 192.168.1.111 port 59183 ssh2

Por que o primeiro prompt relata 4 logins com falha, enquanto o comando egrep retorna apenas 1 entrada do securelog? Eu tenho que usar outra coisa?

ssh

1 respostas

  1. Best Answer

    Pelas suas linhas de logs após o login bem-sucedido e pelo fato de você ter inspecionado /var/log/secure, presumo que você esteja executando o Redhat/CentOS em sua máquina. Na verdade, o primeiro prompt que você mencionou na sua pergunta provavelmente pode ser a saída de pam_lastlog, cuja página de manual diz:

    PAM_LASTLOG(8)

... (omitted for brevity)

OPTIONS

       ... (omitted for brevity)

       showfailed
           Display number of failed login attempts and the date of the last failed attempt from btmp. The date is not displayed when nodate is specified.

       ... (omitted for brevity)

    Observe que a página de manual indica claramente que o número foi recuperado de btmp, ou seja /var/log/btmp, outro arquivo de log para registrar logins malsucedidos. Infelizmente, é um arquivo binário e você não pode inspecioná-lo usando os comandos cate grep. Como alternativa, você pode usar last -f /var/log/btmpo comando para verificar o que o arquivo registra, de acordo com esta resposta .

    A propósito, pode ser útil se você verificar a página de manual pam_lastloge esta pergunta para leitura adicional.

    • 1

relate perguntas