每当我们的服务器管理员尝试通过 SSH 访问运行 Mac OS X Server 10.5 的机器时,我就会每 10 秒在安全日志中收到以下错误:
sshd[32575]: /etc/sshd_config 第 70 行:不支持的选项 KerberosGetAFSToken
sshd[32575]: 错误: PAM: 来自 129.1.95.241 的 (用户名) 身份验证失败
sshd[32575]: 来自 129.1.95.241 的 (用户名) 的键盘交互/pam 失败
用户可以正常登录和工作,但这个错误在日志文件中占据主导地位。起初我们发现他的系统上有一个剩余的公共 ssh 密钥,但即使删除它后错误仍然存在。即使用户不再登录服务器,该错误也会每 10 秒出现一次!
以前有人见过这个问题吗?即使该机器没有与服务器建立开放连接,这些错误怎么会从同一 IP 生成?我还应该去哪里找?
非常感谢您的帮助!
答案1
听起来像是在 129.1.95.241 上运行并尝试登录的一些恶意脚本。我会直接查看该主机。
或者如果它不在你的控制范围内,就用防火墙阻止它。如果确实需要它,那么有人会冲你大喊大叫,你可以选择“修复”它。如果你有服务器的联系人,可以发一封邮件,写上截止日期,以发出警告。
答案2
你可能想看看这
它适用于 Ubuntu,但我相信它可能有關聯。
基本上,这就像 ssh 客户端正在尝试使用以下方式进行身份验证全局搜索应用程序编程接口。我读到客户端将尝试重新密钥。此重新密钥将新的凭证传输到服务器。
这就可以解释每 10 秒填充一次日志的原因。
编辑:我还发现此邮件列表踩讨论 GSSAPI 并且还涵盖 AFS... 几乎就是您在日志中看到的内容。AFS、Kerberos 和 PAM...