Diferença entre autenticações com falha e logins com falha no aureport

Navegue suas respostas
1

Ultimamente tenho explorado a ferramenta aureport, mas notei o seguinte nos resultados e comportamento dela.

Por exemplo, executando o seguinte comando: 

# aureport --failed

Exibe o seguinte snippet: 

Failed Summary Report
======================
Number of failed logins: 11783
Number of failed authentications: 41679

Qual é exatamente a diferença entre os dois? A página do manual também não ajuda muito:

-l, --login Report about logins

-au, --auth Report about authentication attempts

Qual é a diferença entre autenticações com falha e logins com falha? Procurei em todos os documentos que encontrei, mas nenhum deles explicou a diferença.

ATUALIZAÇÃO:

Eu fiz alguns testes, e aqui estão minhas descobertas até agora:

  • tentando usar ssh em uma caixa usando um nome de usuário incorreto, gera 1 login com falha e 3 autenticações com falha.

  • tentando ssh em uma caixa usando um nome de usuário correto, mas uma senha incorreta gera 1 falha de login e 2 falhas de autenticação.

Eu ainda estou olhando para isso ..

    
por rootameen 19.05.2018 / 04:46

1 resposta

0

Tudo bem, eu acredito que eu resolvi isso:

Em um login bem-sucedido, você gera 1 login e 2 autenticações (uma para o PAM e outra para o sshd): 

type=USER_AUTH msg=audit(1526764807.252:118047): pid=25901 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=pam_unix acct="root" exe="/usr/sbin/sshd" hostname=172.16.1.10 addr=172.16.1.10 terminal=ssh res=success'
type=USER_AUTH msg=audit(1526764807.261:118050): pid=25901 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=success acct="root" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.10 terminal=ssh res=success'

type=USER_LOGIN msg=audit(1526764807.488:118058): pid=25907 uid=0 auid=0 ses=16568 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=172.16.1.10 addr=172.16.1.10 terminal=/dev/pts/1 res=success'

No entanto, em um login com falha, isso depende de muitos fatores, no meu caso, eu fiz um login com um nome de usuário incorreto e forneci uma senha. Isso gerou 1 falha de login e 3 mensagens de falha de autenticação (1 para tentativa de chave pública, 1 para senha e 1 para sshd): 

type=USER_AUTH msg=audit(1526765733.046:118093): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=pubkey acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'
type=USER_AUTH msg=audit(1526765734.217:118094): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="incorrectuser" exe="/usr/sbin/sshd" hostname=172.16.1.101 addr=172.16.1.101 terminal=ssh res=failed'
type=USER_AUTH msg=audit(1526765736.654:118095): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=password acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'    

type=USER_LOGIN msg=audit(1526765737.144:118101): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'

Então, basicamente, se eu omitir o uso da chave pública ao impingir o login de senha com a opção ssh, receberei apenas duas mensagens de autenticação, em vez de três.

Estou marcando isso como resolvido. No entanto, se alguém tiver algum documento de referência em que mergulhe mais nisso, ficarei mais do que feliz em tê-lo.

    
por rootameen 20.05.2018 / 00:08
[18.04] [ATI] Artefatos de tela e atrasos Usando o Libre Office Draw para desenhar diagramas de classes UML