Jedním z příznaků, že se útočník může pokoušet proniknout do systému, budou neúspěšné pokusy o přihlášení. Soubor /var/log/faillog uchovává záznamy o neúspěšných pokusech o ověření. Příkaz faillog přečte tento soubor protokolu /var/log/faillog a zobrazí účty, které se od posledního selhání nepřihlásily úspěšně.
Příkaz „faillog -a“ zobrazí seznam všech neúspěšných pokusů o přihlášení, včetně těch, které od té doby prošly úspěšnou autentizací.
Příklady příkazů faillog
1. Chcete-li zobrazit záznamy faillog pro všechny uživatele:
# faillog -a
(Pokud neukazuje žádný soubor „/var/log/faillog“, vytvořte jej)
2. Chcete-li zamknout účet na určitou dobu v sekundách po selhání přihlášení:
# faillog -l 60 mike # faillog -ul 60 mike
3. Chcete-li nastavit maximální počet neúspěšných přihlášení:
# faillog -m 10 mike # faillog --maximum 10 mike
4. Chcete-li vynulovat počítadla neúspěšných přihlášení:
# faillog -r mike # faillog -ur mike # faillog --reset mike
5. Zobrazení záznamů faillog novějších než DAYS:
# faillog -t 5 mike # faillog --time DAYS mike
6. Chcete-li zobrazit záznam o selhání nebo udržovat čítače a limity selhání:
# faillog -u mike # faillog --user LOGIN|RANGE mike
7. Chcete-li získat nápovědu k protokolu selhání:
# faillog -h # faillog --help
Protokol /var/log/faillog
Tento soubor protokolu obsahuje neúspěšná přihlášení uživatelů. To může být velmi důležité při sledování pokusů proniknout do systému. Normální uživatel může mít obvykle jeden nebo dva neúspěšné pokusy o přihlášení. Četné neúspěšné pokusy o přihlášení nebo dokonce časté neúspěšné pokusy o přihlášení, ke kterým dochází v různých časech, mohou být indikátorem toho, že se někdo pokouší ohrozit přístup do systému. Za zmínku také stojí časy neúspěšných pokusů o přihlášení. Pokud zaměstnanec normálně pracuje od 8:00 do 17:00 a ve 23:00 dojde k neúspěšným pokusům o přihlášení, může to být varovný signál.
Jak používat faillog ke sledování neúspěšných pokusů o přihlášení?
1. Otevřete soubor /etc/pam.d/system-auth pro úpravy.
Přidejte následující řádky:
auth required pam_tally.so no_magic_root account required pam_tally.so deny=2 no_magic_root
2. Uložte soubor a ukončete.
3. Otestujte konfiguraci tak, že se pokusíte přihlásit jako normální uživatel, ale použijete špatné heslo.
4. Ověřte neúspěšné přírůstky počtu spuštěním příkazu:
# faillog -u [username]
Neúspěšné přihlášení se standardně zaznamená do /var/log/faillog v nějakém specifickém binárním formátu a obslužný program faillog může analyzovat pouze /var/log/faillog, aby získal neúspěšná přihlášení. Nemáme žádnou možnost vytvořit faillog pro čtení protokolů na jiných místech.