攻撃者がシステムに侵入しようとしている兆候の 1 つは、ログイン試行の失敗です。 /var/log/faillog ファイルは、失敗した認証試行を追跡します。コマンド faillog は、このログファイル /var/log/faillog を読み取り、最後の失敗以降、ログインに成功していないアカウントを表示します。
「faillog -a」コマンドは、認証に成功したものを含め、失敗したすべてのログイン試行を一覧表示します。
faillog コマンドの例
1. すべてのユーザーの失敗ログ レコードを表示するには:
# faillog -a
(「/var/log/faillog」ファイルが表示されない場合は作成します)
2. ログイン失敗後、指定された時間 (秒単位) アカウントをロックするには:
# faillog -l 60 mike # faillog -ul 60 mike
3. ログイン失敗の最大回数を設定するには:
# faillog -m 10 mike # faillog --maximum 10 mike
4. ログイン失敗のカウンターをリセットするには:
# faillog -r mike # faillog -ur mike # faillog --reset mike
5. DAYS より新しい失敗ログ レコードを表示するには:
# faillog -t 5 mike # faillog --time DAYS mike
6. 失敗ログ レコードを表示するか、失敗カウンターと制限を維持するには:
# faillog -u mike # faillog --user LOGIN|RANGE mike
7. 失敗ログのヘルプを表示するには:
# faillog -h # faillog --help
/var/log/faillog ログ
このログ ファイルには、失敗したユーザー ログインが含まれます。これは、システムへのクラックの試みを追跡する際に非常に重要になる可能性があります。通常、通常のユーザーは 1 つか 2 つのログイン試行に失敗することがあります。多数のログイン試行の失敗、またはさまざまな時点で発生する頻繁なログイン試行の失敗は、誰かがシステムへのアクセスを侵害しようとしている兆候である可能性があります。また、ログイン試行の失敗回数にも注目する価値があります。従業員が通常、午前 8 時から午後 5 時まで勤務し、午後 11 時にログイン試行に失敗した場合、それは警告サインである可能性があります。
faillog を使用して失敗したログイン試行を追跡する方法
1. 編集のために /etc/pam.d/system-auth ファイルを開きます。
次の行を追加します:
auth required pam_tally.so no_magic_root account required pam_tally.so deny=2 no_magic_root
2. ファイルを保存して終了します。
3. 通常のユーザーとしてログインを試みることで構成をテストしますが、間違ったパスワードを使用します。
4. 次のコマンドを実行して、失敗したカウントの増分を確認します:
# faillog -u [username]
失敗したログインは、デフォルトで特定のバイナリ形式で /var/log/faillog に記録されます。ユーティリティの faillog は、/var/log/faillog を解析して失敗したログインを取得することしかできません。他の場所でログを読み取るために faillog を作成するオプションはありません。