файл /etc/security/failedlogin

Главная Форумы POWER Systems AIX/Hardware файл /etc/security/failedlogin

Просмотр 2 веток ответов
  • Автор
    Сообщения
    • #39160
      Акя
      Участник

      Добрый день форумчане.
      В AIX yедавно стало проподать место в /etc, виновником оказался файл /etc/security/failedlogin.
      Выгрузил все в файл для анализа
      who -a /etc/security/failedlogin >/tmp/failedlogin
      superadmin       – ssh         Sep 22 16:30      ?
      superadmin       – ssh         Sep 22 16:31      ?
      superadmin       – ssh         Sep 22 16:31      ?
      superadmin       – ssh         Sep 22 16:31      ?
      superadmin       – ssh         Sep 22 16:31      ?
      superadmin       – ssh         Sep 22 16:31      ?
      superadmin       – ssh         Sep 22 16:31      ?

      Один пользователь забил весь журнал. Некий сервис на другом хосте постоянно мониторит есть ли файлы для него по протоколу sftp.
      Данный сервис работает без сбоев. В ручном режиме тоже спокойно можно зайти по SFTP.
      Включил дебаг чтоб увидеть подробности /var/log/auth.log
      Sep  4 17:10:41 db-bo-test auth|security:info syslog: ssh: failed login attempt for superadmin from 192.168.33.175
      Sep  4 17:10:41 db-bo-test auth|security:info sshd[37945458]: Accepted password for superadmin from 192.168.33.175 port 52260 ssh2
      Sep  4 17:10:44 db-bo-test auth|security:info syslog: ssh: failed login attempt for superadmin from 192.168.33.175
      Sep  4 17:10:44 db-bo-test auth|security:info sshd[34144358]: Accepted password for superadmin from 192.168.33.175 port 52261 ssh2
      Sep  4 17:10:56 db-bo-test auth|security:info syslog: ssh: failed login attempt for superadmin from 192.168.33.175
      Sep  4 17:10:56 db-bo-test auth|security:info sshd[34013270]: Accepted password for superadmin from 192.168.33.175 port 52266 ssh2

      Как видно пароль проходит, но запись failed login тоже есть.
      Вот тут Я дальше не знаю куда ковырять, необходимо понять почему вообще появляются данные записи.
      Прошу помочь знающих людей.

    • #39162
      Дмитрий
      Участник

      Здравствуйте,

      По логу очень похоже, что с другой стороны сначала пытаются аутентифицироваться по ssh-key, это не получается, и входят по паролю.
      Проверьте наличие/актуальность ключей на обоих сторонах (даже если там какой-то непонятный сервис, то он работает из под учётки, и у неё есть домашний каталог), попробуйте перегенерить ключи.
      Если это не поможет, то смотрите на той стороне, откуда логинятся. Я так понимаю, там сохранён пароль?
      Может, есть ещё варианты, но это первое, что пришло в голову.

    • #39165
      Акя
      Участник

      Хост на котором крутится сервис работает на Windows, куда там писать ssh-key даже и не знаю. Спасибо за ответ буду ковырять клиента.

Просмотр 2 веток ответов
  • Для ответа в этой теме необходимо авторизоваться.