aureport 中失败的身份验证和失败的登录之间的区别

tag-icon tag-icon linux security audit
aureport 中失败的身份验证和失败的登录之间的区别

最近我一直在探索 aureport 工具,但我注意到它的输出和行为如下。

例如,运行以下命令:

# aureport --failed

显示以下代码片段:

Failed Summary Report
======================
Number of failed logins: 11783
Number of failed authentications: 41679

两者到底有什么区别?手册页也没有多大帮助:

-l, --login 报告有关登录的信息

-au, --auth 报告有关身份验证尝试的信息

身份验证失败和登录失败有什么区别?我查看了所有能找到的文档,但没有一个解释其中的差异。

更新:

我做了一些测试,到目前为止我的发现如下:

  • 尝试使用不正确的用户名 ssh 进入某个盒子,会生成 1 次登录失败和 3 次身份验证失败。

  • 尝试使用正确的用户名但不正确的密码 ssh 进入某个盒子,会生成 1 次登录失败和 2 次身份验证失败。

我还在研究这个..

答案1

好吧,我相信我已经破解了这个:

成功登录后,您将生成 1 个登录名和 2 个身份验证(一项用于 PAM,一项用于 sshd):

type=USER_AUTH msg=audit(1526764807.252:118047): pid=25901 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=pam_unix acct="root" exe="/usr/sbin/sshd" hostname=172.16.1.10 addr=172.16.1.10 terminal=ssh res=success'
type=USER_AUTH msg=audit(1526764807.261:118050): pid=25901 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=success acct="root" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.10 terminal=ssh res=success'

type=USER_LOGIN msg=audit(1526764807.488:118058): pid=25907 uid=0 auid=0 ses=16568 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=172.16.1.10 addr=172.16.1.10 terminal=/dev/pts/1 res=success'

但是,登录失败取决于许多因素,就我而言,我使用错误的用户名登录并提供了密码。这生成了 1 条登录失败和 3 条身份验证失败消息(1 条用于公钥尝试,1 条用于密码,1 条用于 sshd):

type=USER_AUTH msg=audit(1526765733.046:118093): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=pubkey acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'
type=USER_AUTH msg=audit(1526765734.217:118094): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="incorrectuser" exe="/usr/sbin/sshd" hostname=172.16.1.101 addr=172.16.1.101 terminal=ssh res=failed'
type=USER_AUTH msg=audit(1526765736.654:118095): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=password acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'    

type=USER_LOGIN msg=audit(1526765737.144:118101): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'

所以基本上,如果我通过使用 ssh 选项强制密码登录来省略公钥的使用,我只会收到两条身份验证消息,而不是三个。

我将其标记为“已解决”。然而,如果有人有任何参考文档,其中更深入地探讨了这一点,我会非常高兴拥有它。

相关内容