файл /etc/security/failedlogin


Главная Форумы POWER Systems AIX/Hardware файл /etc/security/failedlogin

В этой теме 2 ответа, 2 участника, последнее обновление Картинка профиля Акя Акя 9 мес. назад.

Aliexpress INT
  • Автор
    Сообщения
  • #39160
    Картинка профиля Акя
    Акя
    Участник
    Aliexpress INT

    Добрый день форумчане.
    В AIX yедавно стало проподать место в /etc, виновником оказался файл /etc/security/failedlogin.
    Выгрузил все в файл для анализа
    who -a /etc/security/failedlogin >/tmp/failedlogin
    superadmin       – ssh         Sep 22 16:30      ?
    superadmin       – ssh         Sep 22 16:31      ?
    superadmin       – ssh         Sep 22 16:31      ?
    superadmin       – ssh         Sep 22 16:31      ?
    superadmin       – ssh         Sep 22 16:31      ?
    superadmin       – ssh         Sep 22 16:31      ?
    superadmin       – ssh         Sep 22 16:31      ?

    Один пользователь забил весь журнал. Некий сервис на другом хосте постоянно мониторит есть ли файлы для него по протоколу sftp.
    Данный сервис работает без сбоев. В ручном режиме тоже спокойно можно зайти по SFTP.
    Включил дебаг чтоб увидеть подробности /var/log/auth.log
    Sep  4 17:10:41 db-bo-test auth|security:info syslog: ssh: failed login attempt for superadmin from 192.168.33.175
    Sep  4 17:10:41 db-bo-test auth|security:info sshd[37945458]: Accepted password for superadmin from 192.168.33.175 port 52260 ssh2
    Sep  4 17:10:44 db-bo-test auth|security:info syslog: ssh: failed login attempt for superadmin from 192.168.33.175
    Sep  4 17:10:44 db-bo-test auth|security:info sshd[34144358]: Accepted password for superadmin from 192.168.33.175 port 52261 ssh2
    Sep  4 17:10:56 db-bo-test auth|security:info syslog: ssh: failed login attempt for superadmin from 192.168.33.175
    Sep  4 17:10:56 db-bo-test auth|security:info sshd[34013270]: Accepted password for superadmin from 192.168.33.175 port 52266 ssh2

    Как видно пароль проходит, но запись failed login тоже есть.
    Вот тут Я дальше не знаю куда ковырять, необходимо понять почему вообще появляются данные записи.
    Прошу помочь знающих людей.

  • #39162
    Картинка профиля Дмитрий
    Дмитрий
    Участник

    Здравствуйте,

    По логу очень похоже, что с другой стороны сначала пытаются аутентифицироваться по ssh-key, это не получается, и входят по паролю.
    Проверьте наличие/актуальность ключей на обоих сторонах (даже если там какой-то непонятный сервис, то он работает из под учётки, и у неё есть домашний каталог), попробуйте перегенерить ключи.
    Если это не поможет, то смотрите на той стороне, откуда логинятся. Я так понимаю, там сохранён пароль?
    Может, есть ещё варианты, но это первое, что пришло в голову.

  • #39165
    Картинка профиля Акя
    Акя
    Участник

    Хост на котором крутится сервис работает на Windows, куда там писать ssh-key даже и не знаю. Спасибо за ответ буду ковырять клиента.

Для ответа в этой теме необходимо авторизоваться.