我们正在使用 Ubuntu 16.04,并在 passwd 配置中注释掉了一些用户,但身份验证日志显示这些用户的登录尝试成功。
关键是我们已经特别指定了哪些用户可以登录操作系统,并且还注释掉了一些用户,但我们仍然会收到来自 Ubuntu 中那些被禁用用户的成功登录尝试,但经过调查后我们发现没有任何东西(没有 Bash 历史记录和上次登录也是几个月前),而登录是今天的。
有任何想法或意见请提出!
答案1
如果我在 /etc/passwd 中注释掉我的一个用户并尝试用它登录,则 auth.log 会显示:
Sep 24 14:23:08 myhost sshd[1178]: Invalid user Xuser from 1.2.3.4
Sep 24 14:23:08 myhost sshd[1178]: input_userauth_request: invalid user Xuser [preauth]
Sep 24 14:23:11 myhost sshd[1178]: pam_unix(sshd:auth): check pass; user unknown
Sep 24 14:23:11 myhost sshd[1178]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=remotehost.co.x
顺便说一下,我们不建议手动编辑,/etc/passwd
而是改为解锁禁用的帐户。shadow
usermod -L Xuser
usermod -U Xuser
我能想到的一个可能场景是安装了另一个用户目录,其中也存在相同的用户。我的意思是像 LDAP 或 NIS/YP 这样的目录。