为什么我需要具有提升的权限才能访问上次失败的登录 ( /var/log/btmp),但不需要访问上次成功的登录 ( /var/log/wtmp)。 (至少在 debian/ubuntu linux 上默认 - 我的系统:debian 9)
有什么安全考虑吗?
基本上我想lastb在每次登录时运行,从而为所有用户设置读取权限chmod o+r /var/log/btmp。有什么矛盾吗?
答案1
对该日志的读取访问是(本地)攻击者以明文形式访问帐户密码的一种方式,因为(根据 OpenSSH 人员的说法)最常见的登录失败模式是用户在提示输入帐户名时意外键入密码。
进一步阅读
- 阿肖克(2005-01-20)。记录所有支持的身份验证方法的错误登录。 OpenSSH 错误 #974。
- 达伦·塔克 (2005-02-02)。教
sshd将登录失败记录写入btmp。打开SSH。 GitHub。 - 高德院长 (2005-06-19)。文件权限过多或所有权错误
/var/log/btmp。 Debian 错误 #314956。 - 肯·鲍利 (2005-12-03)。openssh-server:不记录错误的登录尝试
/var/log/btmp。 Debian 错误#341883。 - 马克宪章(2017-08-03)。systemd:
/var/log/btmp权限不一致.Debian 错误 #870638。 - 弗兰克·布伊 (2017-10-04)。为什么 tmpfiles 需要“utmp”组
/var/log/btmp?。系统错误#6994。 GitHub。