Uno dei segni che un utente malintenzionato potrebbe tentare di entrare in un sistema saranno i tentativi di accesso non riusciti. Il file /var/log/faillog tiene traccia dei tentativi di autenticazione falliti. Il comando faillog legge questo file di registro /var/log/faillog e mostra gli account che non hanno avuto un accesso riuscito dall'ultimo errore.
Il comando "faillog -a" elencherà tutti i tentativi di accesso non riusciti, inclusi quelli che da allora hanno avuto un'autenticazione riuscita.
Esempi di comando di faillog
1. Per visualizzare i record di faillog per tutti gli utenti:
# faillog -a
(Se non mostra alcun file "/var/log/faillog", crealo)
2. Per bloccare un account per un periodo di tempo specificato in secondi dopo l'errore di accesso:
# faillog -l 60 mike # faillog -ul 60 mike
3. Per impostare il numero massimo di accessi non riusciti:
# faillog -m 10 mike # faillog --maximum 10 mike
4. Per azzerare i contatori degli accessi non riusciti:
# faillog -r mike # faillog -ur mike # faillog --reset mike
5. Per visualizzare i record di faillog più recenti di GIORNI:
# faillog -t 5 mike # faillog --time DAYS mike
6. Per visualizzare il record del registro degli errori o mantenere i contatori e i limiti degli errori:
# faillog -u mike # faillog --user LOGIN|RANGE mike
7. Per ottenere assistenza per il faillog:
# faillog -h # faillog --help
Il registro /var/log/faillog
Questo file di registro contiene accessi utente non riusciti. Questo può essere molto importante quando si tracciano i tentativi di crack nel sistema. Di solito, un utente normale potrebbe occasionalmente avere uno o due tentativi di accesso non riusciti. Numerosi tentativi di accesso non riusciti, o anche frequenti tentativi di accesso non riusciti che si verificano in momenti diversi, possono essere un indicatore di qualcuno che tenta di compromettere l'accesso al sistema. Vale anche la pena notare i tempi dei tentativi di accesso falliti. Se un dipendente normalmente lavora dalle 8:00 alle 17:00 e ci sono tentativi di accesso falliti alle 23:00, questo potrebbe essere un segnale di avvertimento.
Come utilizzare il faillog per tenere traccia dei tentativi di accesso non riusciti?
1. Aprire il file /etc/pam.d/system-auth per la modifica.
Aggiungi le seguenti righe:
auth required pam_tally.so no_magic_root account required pam_tally.so deny=2 no_magic_root
2. Salva il file ed esci.
3. Testare la configurazione tentando di accedere come utente normale, ma utilizzando una password errata.
4. Verifica gli incrementi di conteggio non riusciti eseguendo il comando:
# faillog -u [username]
L'accesso non riuscito viene registrato in /var/log/faillog in un formato binario specifico per impostazione predefinita e solo l'utilità faillog può analizzare /var/log/faillog per ottenere gli accessi non riusciti. Non abbiamo alcuna opzione per fare in modo che il registro non consenta di leggere i registri in altri luoghi.