방금 작은 홈서버에 로그인했는데 다음 메시지가 표시되었습니다.
Last failed login: Sun Jan 14 17:08:42 CET 2024 from 192.168.1.111 on ssh:notty
There were 4 failed login attempts since the last successful login.
루트 사용자로 전환하고 실행했습니다.
root@homeserver ~]# egrep "Failed|Failure" /var/log/secure
Jan 14 17:08:42 homeserver sshd[4906]: Failed password for invalid user podman from 192.168.1.111 port 59183 ssh2
첫 번째 프롬프트에서는 4개의 로그인 실패를 보고하는 반면 egrep 명령은 secure로그에서 1개의 항목만 반환하는 이유는 무엇입니까? 다른 것을 찾아야합니까?
답변1
성공적인 로그인 후의 로그 라인과 검사 사실을 통해 /var/log/secure귀하의 컴퓨터에서 Redhat/CentOS를 실행하고 있다고 가정합니다. 실제로 귀하의 질문에서 언급한 첫 번째 프롬프트는 아마도 pam_lastlog매뉴얼 페이지가 다음과 같은 의 출력일 수 있습니다 .
PAM_LASTLOG(8)
... (omitted for brevity)
OPTIONS
... (omitted for brevity)
showfailed
Display number of failed login attempts and the date of the last failed attempt from btmp. The date is not displayed when nodate is specified.
... (omitted for brevity)
맨페이지에는 해당 번호가 실패한 로그인을 기록하는 또 다른 로그 파일인 에서 검색된다는 점을 명확하게 명시하고 btmp있습니다 /var/log/btmp. 안타깝게도 바이너리 파일이므로 cat및 grep명령을 사용하여 검사할 수 없습니다. 한편, 다음과 같이 last -f /var/log/btmp명령을 사용하여 파일에 기록된 내용을 확인할 수 있습니다.이 답변.
그런데 맨페이지를 확인하면 도움이 될 수 있습니다 pam_lastlog.이 질문추가 읽기를 위해.