Todo login do SSH do AD começa com uma falha no audit.log

Navegue suas respostas
3

Sempre que eu faço login no meu servidor Centos 7.x, sempre obtenho uma falha transparente no arquivo audit.log. Isso está dificultando minhas tentativas de ter um script diário para logins com falha, pois não podemos ter certeza do que é um fracasso real. Aqui está um trecho de aureport -au -ts today 

1669. 06/02/17 08:40:03 handsm@internal 10.1.0.24 ssh /usr/sbin/sshd no 1428242
1670. 06/02/17 08:40:03 handsm@internal 10.1.0.24 ssh /usr/sbin/sshd no 1428243
1671. 06/02/17 08:40:06 handsm@internal server01 ssh /usr/sbin/sshd yes 1428244
1672. 06/02/17 08:40:06 handsm@internal 10.1.0.24 ssh /usr/sbin/sshd yes 1428246
1673. 06/02/17 08:40:13 [email protected] ? /dev/pts/3 /usr/bin/sudo yes 1428284

Você pode ver que as primeiras 2 linhas são falhas e, em seguida, obtenho um sucesso imediato. Alguém tem alguma idéia de por que isso pode estar acontecendo?

Edit_1: Arquivos de registro detalhados do SSH:

Feb 6 09:59:42 wb-prod-ctl sshd[50489]: Connection from 10.1.0.24 port 58847 on 192.168.61.5 port 22 Feb 6 09:59:45 wb-prod-ctl sshd[50489]: Failed publickey for handsm@internal from 10.1.0.24 port 58847 ssh2: RSA c4:a3:e9:ad:2f:5c:fa:b4:de:49:6a:7d:83:fa:11:d5 Feb 6 09:59:45 wb-prod-ctl sshd[50489]: Postponed gssapi-with-mic for handsm@internal from 10.1.0.24 port 58847 ssh2 [preauth] Feb 6 09:59:46 wb-prod-ctl sshd[50489]: Failed gssapi-with-mic for handsm@internal from 10.1.0.24 port 58847 ssh2 Feb 6 09:59:48 wb-prod-ctl sshd[50489]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=server01.internal.office user=handsm@internal Feb 6 09:59:48 wb-prod-ctl sshd[50489]: Accepted password for handsm@regsec from 10.1.0.24 port 58847 ssh2 Feb 6 09:59:48 wb-prod-ctl sshd[50489]: pam_unix(sshd:session): session opened for user handsm@internal by (uid=0) Feb 6 09:59:48 wb-prod-ctl sshd[50489]: User child is on pid 50492 Feb 6 09:59:48 wb-prod-ctl sshd[50492]: Starting session: shell on pts/3 for [email protected] from 10.1.0.24 port 58847

Parece falha com o gssapi-with-mic ??

Edit_2: Eu desabilitei GSSAPIAuthentication agora sem efeito mal e o erro em meus logs SSH para gssapi-with-mic foi ...... no entanto (!), Fiquei com o erro Failed publickey .

Portanto, meu servidor permite tanto logins do AD (uid + senha) quanto logins sem senha (chaves pública / privada). Eu acho que o meu problema é este fato, e eu posso não ser capaz de resolvê-lo, ou seja, o SSH está esperando um dos métodos e se um não for usado, o outro escreve um erro no log.

Alguém mais tem experiência com isso?

Edit_3 : Problema resolvido - graças a Liczyrzrepa .

Portanto, parece que as configurações padrão do Putty são "Tentativa de autenticação usando Pageant" (veja a imagem abaixo). Quando criei uma nova sessão Putty para o servidor em questão e desabilitei essa configuração, não vejo mais o erro Failed publickey . Dias felizes! Espero que isso ajude os outros.

    
por machinist 06.02.2017 / 09:48

1 resposta

3

Por padrão, o cliente OpenSSH tentará a autenticação de chave pública se você tiver criado chaves anteriormente. Meu palpite é que, se você fizer ls ${HOME}/.ssh/ , verá um par de chaves - id_rsa e id_rsa.pub . Quando o seu cliente se conecta ao servidor, ele tenta usar esse par de chaves para fazer o login. Como id_rsa.pub não está em ${HOME}/.ssh/authorized_keys em seu servidor ou esse arquivo possui permissões incorretas, sshd no servidor marca corretamente essa tentativa de login como tendo falhado. Tente o seguinte: 

ssh -o PubkeyAuthentication=no

Definir essa opção impedirá que o cliente SSH use as chaves em ${HOME}/.ssh/ ao tentar autenticar no servidor. Se isso não impedir que as mensagens de log sejam exibidas, adicione -vv às opções do cliente ssh para que possamos ver exatamente o que está acontecendo.

    
por 06.02.2017 / 21:18

Tags

Como adicionar uma localização GPS personalizada a uma imagem? pergunta padrão bash