默认情况下,pam 会记录 auditd 失败的登录尝试。我的问题是,当有人尝试以不存在的用户身份登录时,审计消息包含acct="UNKNOWN"。
我希望记录尝试过的用户名。pam_tally2支持audit指示它将尝试过的用户名输出到计数文件的选项。但是,auditd 中仍然没有记录。我可以读取计数文件,但我想只解析 auditd 输出,而不是另外解析计数文件。
我知道如果管理员记录此类信息,对用户来说不是一个好主意。但我的用例是,我尝试部署一些用于教育目的的系统,我需要这些信息来推断学生的行为。
答案1
我最终pam_warn获得了未知用户以及连接用户的 IP。