关于审计日志(auth.log)问题咨询

我测试用登录多次失败,发现通过ssh或console登录时操作系统记录的auth.log日志如下图,日志中ssh失败先打印了登录失败,再打印的锁定日志,console登录失败则先打印的锁定日志,后打印的失败日志,我理解操作系统登录认证流程应该是一致的,为什么不同终端打印的日志差异很大?

图片根本看不清啊……

有趣的问题 :grin:

认证失败、登录失败是两个不同的概念。

终端登录从输入密码回车到显示登录失败,有3秒左右的延迟。这是一项安全措施,两者的原理应相似。

从右图来看:

  1. 密码认证失败:USER_AUTH failed
  2. pam 锁定账户登录:pam_faillock(基本同时)
  3. login 进程延迟键盘操作,后返回失败:USER_LOGIN 权限被拒绝

右图下方你框出的日志对应第3步,login 进程此时解除了键盘锁定并结束,宣告着登录失败。它不属于认证的一部分,所以不能将其与左图框出的日志相提并论。

对于左图,可以理解为两条日志对应操作均由 pam 完成,在认证失败(几乎)同时锁定了账户登录,对应上文所述的1、2两步。左图下面几行日志才对应登录失败的结果(断开连接)。

具体可以到网上搜索 ssh 登录与 login 进程的工作原理。

我对这方面没有研究过多,有误请指正,希望能帮到你!

2 个赞

什么乱七八糟的 GPT 啊……

2 个赞