Una de las señales de que un atacante podría estar intentando entrar en un sistema son los intentos de inicio de sesión fallidos. El archivo /var/log/faillog realiza un seguimiento de los intentos de autenticación fallidos. El comando faillog lee este archivo de registro /var/log/faillog y muestra las cuentas que no han tenido un inicio de sesión exitoso desde la última falla.
El comando "faillog -a" mostrará una lista de todos los intentos de inicio de sesión fallidos, incluidos aquellos que desde entonces han tenido una autenticación exitosa.
Ejemplos de comandos de registro de fallas
1. Para mostrar los registros de error de todos los usuarios:
# faillog -a
(Si no muestra el archivo “/var/log/faillog”, créelo)
2. Para bloquear una cuenta durante un tiempo específico en segundos después de un error de inicio de sesión:
# faillog -l 60 mike # faillog -ul 60 mike
3. Para establecer el número máximo de errores de inicio de sesión:
# faillog -m 10 mike # faillog --maximum 10 mike
4. Para restablecer los contadores de errores de inicio de sesión:
# faillog -r mike # faillog -ur mike # faillog --reset mike
5. Para mostrar registros de registro de fallas más recientes que DÍAS:
# faillog -t 5 mike # faillog --time DAYS mike
6. Para mostrar el registro de fallas o mantener contadores y límites de fallas:
# faillog -u mike # faillog --user LOGIN|RANGE mike
7. Para obtener ayuda para el registro de fallas:
# faillog -h # faillog --help
El registro /var/log/faillog
Este archivo de registro contiene inicios de sesión de usuario fallidos. Esto puede ser muy importante cuando se rastrean los intentos de entrar en el sistema. Por lo general, un usuario normal puede tener ocasionalmente uno o dos intentos de inicio de sesión fallidos. Numerosos intentos de inicio de sesión fallidos, o incluso intentos de inicio de sesión fallidos frecuentes que ocurren en diversos momentos, pueden ser un indicador de que alguien intenta comprometer el acceso al sistema. También vale la pena señalar los tiempos de intentos fallidos de inicio de sesión. Si un empleado normalmente trabaja de 8:00 a. m. a 5:00 p. m. y hay intentos fallidos de inicio de sesión a las 11:00 p. m., eso puede ser una señal de advertencia.
¿Cómo utilizar el registro de errores para realizar un seguimiento de los intentos de inicio de sesión fallidos?
1. Abra el archivo /etc/pam.d/system-auth para editarlo.
Agregue las siguientes líneas:
auth required pam_tally.so no_magic_root account required pam_tally.so deny=2 no_magic_root
2. Guarde el archivo y salga.
3. Pruebe la configuración intentando iniciar sesión como un usuario normal, pero usando una contraseña incorrecta.
4. Verifique los incrementos de conteo fallidos ejecutando el comando:
# faillog -u [username]
El inicio de sesión fallido se registra en /var/log/faillog en algún formato binario específico de forma predeterminada, y la utilidad faillog solo puede analizar /var/log/faillog para obtener los inicios de sesión fallidos. No tenemos ninguna opción para hacer faillog para leer registros en otros lugares.