Acabo de iniciar sesión en mi pequeño servidor doméstico y vi este mensaje:
Last failed login: Sun Jan 14 17:08:42 CET 2024 from 192.168.1.111 on ssh:notty
There were 4 failed login attempts since the last successful login.
Cambié al usuario root y ejecuté
root@homeserver ~]# egrep "Failed|Failure" /var/log/secure
Jan 14 17:08:42 homeserver sshd[4906]: Failed password for invalid user podman from 192.168.1.111 port 59183 ssh2
¿Por qué el primer mensaje informa 4 inicios de sesión fallidos mientras que el comando egrep devuelve solo 1 entrada del secureregistro? ¿Tengo que ocuparme de algo más?
Respuesta1
A partir de sus líneas de registros después de iniciar sesión exitosamente y del hecho de que haya inspeccionado /var/log/secure, supongo que está ejecutando Redhat/CentOS en su máquina. En realidad, el primer mensaje que mencionó en su pregunta probablemente sea el resultado de pam_lastlog, cuya página de manual dice:
PAM_LASTLOG(8)
... (omitted for brevity)
OPTIONS
... (omitted for brevity)
showfailed
Display number of failed login attempts and the date of the last failed attempt from btmp. The date is not displayed when nodate is specified.
... (omitted for brevity)
Tenga en cuenta que la página de manual indica claramente que el número se recupera de btmp, es decir, /var/log/btmpde otro archivo de registro para registrar los inicios de sesión fallidos. Desafortunadamente, es un archivo binario y no puedes inspeccionarlo usando los comandos caty grep. Como alternativa, puede usar last -f /var/log/btmpel comando para verificar lo que registra el archivo, de acuerdo conesta respuesta.
Por cierto, podría resultar útil consultar la página de manual de pam_lastlogyesta preguntapara leer más.