这是在 Solaris 10 sparc 平台上。
我正在尝试让我们的denyhosts脚本阻止字典ssh攻击。不幸的是,当用户名无效时,日志不会显示IP。
我们在 pam.conf 中使用 winbind 模块
如果我故意为一个好的用户名输入一个错误的密码,它会记录如下:
Mar 30 14:49:21 t2000 sshd[29870]: [ID 800047 auth.notice] Failed keyboard-interactive for fpicabia from 111.222.333.444 port 52567 ssh2
这显示了我想保留以供拒绝主机稍后扫描的 IP。这里没有问题。
如果我使用虚假用户名登录,日志将不显示任何 IP 信息:
Mar 30 14:55:57 t2000 sshd[1816]: [ID 186046 auth.error] pam_winbind(sshd-kbdint): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_USER_UNKNOWN (13), NTSTATUS: NT_STATUS_NO_SUCH_USER, Error message was: No such user
在 /etc/ssh/sshd_config 中我已经使用详细进行日志记录:
SyslogFacility auth
LogLevel VERBOSE
在 pam.conf 中,我对 winbind 进行了以下设置:
login auth sufficient pam_winbind.so.1 debug
other auth sufficient pam_winbind.so.1 try_first_pass debug
在 Linux 上,winbind 模块在 auth 日志中报告 IP,日志级别仅为 INFO,pam 模块未启用调试。此限制特定于 Solaris 及其 winbind 模块。
当用户未知时,如何获取认证日志中显示的IP地址?
答案1
尽管重新启动了 winbind 和 ssh,但之前并没有记录足够的详细信息。
服务器由于其他原因重新启动,现在日志确实包含无效用户的 IP,其设置与问题相同。