哪个Linux程序将失败的sshd登录尝试写入/var/log/btmp Centos 7

Question

失败的ssh尝试将记录到/var/log/btmp中，但使用用户名的尝试除外，其中帐户存在于服务器上。

最初，我认为/etc/pam.d/sshd中的模块可以处理btmp日志记录，并可能以某种方式过滤尝试，但我只能找到有关成功登录尝试的信息pam_lastlog

我找对地方了吗，sshd -> pam ->日志文件？

是否可能应用筛选器来忽略正在退出的用户尝试？

注意:我禁用了密码和root ssh登录。运行Centos 7

Answer 1

实际上，sshd会失败，成功登录会记录在“/var/log/audit.log”中。

type=USER_AUTH msg=audit(1531228962.485:1069): pid=4487 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=pam_unix acct="**root**" exe="/usr/sbin/sshd" hostname=**192.168.0.16** addr=192.168.0.16 terminal=ssh res=**success**'
type=USER_ACCT msg=audit(1531228962.488:1070): pid=4487 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:accounting grantors=pam_unix,pam_localuser acct="root" exe="/usr/sbin/sshd" hostname=192.168.0.16 addr=192.168.0.16 terminal=ssh res=success'
type=CRYPTO_KEY_USER msg=audit(1531228962.489:1071): pid=4487 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=destroy kind=session fp=? direction=both spid=4488 suid=74 rport=50181 laddr=**192.168.0.10** lport=22  exe="/usr/sbin/sshd" hostname=? addr=192.168.0.16 terminal=? res=success'
type=USER_AUTH msg=audit(1531228962.490:1072): pid=4487 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=success acct="root" exe="/usr/sbin/sshd" hostname=? addr=192.168.0.16 terminal=ssh res=success'
type=CRED_ACQ msg=audit(1531228962.491:1073): pid=4487 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:setcred grantors=pam_unix acct="root" exe="/usr/sbin/sshd" hostname=192.168.0.16 addr=192.168.0.16 terminal=ssh res=success'
type=LOGIN msg=audit(1531228962.491:1074): pid=4487 uid=0 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 old-auid=4294967295 auid=0 old-ses=4294967295 ses=27 res=1
type=USER_ROLE_CHANGE msg=audit(1531228962.653:1075): pid=4487 uid=0 auid=0 ses=27 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='pam: default-context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 selected-context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 exe="/usr/sbin/sshd" hostname=192.168.0.16 addr=192.168.0.16 terminal=ssh res=success'
type=USER_START msg=audit(1531228962.669:1076): pid=4487 uid=0 auid=0 ses=27 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:session_open grantors=pam_selinux,pam_loginuid,pam_selinux,pam_namespace,pam_keyinit,pam_keyinit,pam_limits,pam_systemd,pam_unix,pam_lastlog acct="root" exe="/usr/sbin/sshd" hostname=192.168.0.16 addr=192.168.0.16 terminal=ssh res=success'
type=CRYPTO_KEY_USER msg=audit(1531228962.675:1077): pid=4493 uid=0 auid=0 ses=27 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=destroy kind=server fp=fd:b6:92:76:06:cb:7d:47:02:9f:5d:a9:78:d9:8b:f0 direction=? spid=4493 suid=0  exe="/usr/sbin/sshd" hostname=? addr=192.168.0.16 terminal=pts/4 res=success'
type=CRYPTO_KEY_USER msg=audit(1531228962.675:1078): pid=4493 uid=0 auid=0 ses=27 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=destroy kind=server fp=21:5c:ac:e6:f7:ec:c1:b8:61:b7:d1:90:30:8c:9e:8c direction=? spid=4493 suid=0  exe="/usr/sbin/sshd" hostname=? addr=192.168.0.16 terminal=pts/4 res=success'
type=CRYPTO_KEY_USER msg=audit(1531228962.675:1079): pid=4493 uid=0 auid=0 ses=27 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=destroy kind=server fp=fa:be:5c:4d:09:b2:b0:85:d3:67:43:d0:5e:54:5b:1d direction=? spid=4493 suid=0  exe="/usr/sbin/sshd" hostname=? addr=192.168.0.16 terminal=pts/4 res=success'
type=USER_LOGIN msg=audit(1531228962.677:1080): pid=4493 uid=0 auid=0 ses=27 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=192.168.0.16 addr=192.168.0.16 terminal=/dev/pts/4 res=success'
type=USER_START msg=audit(1531228962.677:1081): pid=4493 uid=0 auid=0 ses=27 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=192.168.0.16 addr=192.168.0.16 terminal=/dev/pts/4 res=success'
type=CRED_REFR msg=audit(1531228962.678:1082): pid=4493 uid=0 auid=0 ses=27 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:setcred grantors=pam_unix acct="root" exe="/usr/sbin/sshd" hostname=192.168.0.16 addr=192.168.0.16 terminal=ssh res=success'

以下是失败的日志提取

type=USER_AUTH msg=audit(1531228891.558:1025): pid=4245 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="root" exe="/usr/sbin/sshd" hostname=192.168.0.16 addr=**192.168.0.16** terminal=ssh res=**failed**

Answer 2

/var/log/messages

您可以通过fail2ban实用程序来控制它。

我已经实现了，它工作得很好。

Xaman

Answer 3

在这种情况下，sshd负责将失败的登录尝试写入/var/log/btmp文件。

引用自Wikipedia

登录这些文件不是由任何给定的PAM模块(例如pam_unix.so或pam_sss.so)设置的，而是由执行操作的应用程序设置的(例如，mingetty、/bin/

或sshd)。因此，记录utmp信息是程序本身的义务。

上面的确认可以在网上找到，比如这个bug report

尽管PAM不负责写入/var/log/btmp，但pam_lastlog可以写入/var/log/wtmp (登录和注销的记录)，并且可以读取/var/log/btmp