faillog verhält sich eigenartig

[mr_fish]

Mit faillog kann ich ja bekanntermaßen fehlgeschlagene Login anzeigen lassen. Leider klappt das bei mir nicht. Nach mehreren extra von mir ausgeführten Login-Versuchen als root mit falschen Passwörtern kommit immer:

Code: Select all

# faillog -u root
Username   Failures  Maximum  Latest
root              0        0

Normalerweise hätten hier doch die falschen Logins erscheinen müssen. Die Datei /var/log/faillog (Binärdatei) wurde auch nicht zum Zeitpunkt des falschen Logins neu geschrieben ...

Die Anzeige von last funktioniert im Ã?brigen korrekt.

Weiß jemand Rat? Das deutet ja wohl hoffentlich nicht auf ein Rootkit hin...

Grüße
Fish

[mr_fish]

Weiß wirklich niemand, warum faillog bei mir nicht richtig anzeigt???

Danke & Grüße
Mr_Fish

[theomega]

nachdem du mich auf den Befehl gebracht hast, wollte ich ihn auf meinen Debian woddy auch ausprobieren, aber hier streikt der Befehl, weil es garkeine /var/log/faillog gibt!
Weiß jemand, wie man login (?) dazu überreden kann hier hinein zu loggen?

[mr_fish]

Das ist ja wirklich krass, das keiner der Linux-Gurus weiß, was es mit dem Befehl faillog auf sich hat Gibt es denn wenigsten jemanden, bei dem faillog die fehlerhaften loginversuche korrekt anzeigt?

Grüße
Fish

[floschi]

Was erwartest du?

Das jemand mit seiner Glaskugel schaut, ob du in /etc/login.defs etwas anders eingestellt hast?

Funktioniert lastb denn?

[rootmaster]

Weiß jemand Rat? Das deutet ja wohl hoffentlich nicht auf ein Rootkit hin...

nene, das faillog wird vom sshd nicht geschrieben; auch nicht bei UseLogin-direktive ! (wegen -f flag)
bei rlogin, telnet, etc sollte es aber funzen ;)
mach einfach mal ein "login" in deiner session und gib ein falsches passwort für root ein.
wenn "/var/log/faillog" nicht existiert, einfach mal touchen ;)
touch /var/log/faillog && chown root:adm /var/log/faillog && chmod 640 /var/log/faillog
killall -HUP syslogd

"back to the roots"

[mr_fish]

Erst mal danke für deine Antwort!!!

Was erwartest du?

Das jemand mit seiner Glaskugel schaut, ob du in /etc/login.defs etwas anders eingestellt hast?

Erwarte ich natürlich nicht. Aber über lastlog ist im Netz kaum was zu finden... In meiner login.defs ist LASTLOG_ENAB auf yes. Ansonsten steht dort noch:

Code: Select all

DEFAULT_HOME            yes
ENV_PATH                /usr/local/bin:/usr/bin:/bin
ENV_ROOTPATH            /sbin:/bin:/usr/sbin:/usr/bin
FAIL_DELAY              3
FAILLOG_ENAB            yes
#FTMP_FILE      /var/log/btmp
HUSHLOGIN_FILE  /etc/hushlogins
LASTLOG_ENAB            yes
LOG_UNKFAIL_ENAB        no
LOGIN_RETRIES           3
LOGIN_TIMEOUT           60
MOTD_FILE       /etc/motd
TTYTYPE_FILE    /etc/ttytype
TTYGROUP        tty
TTYPERM         0620
CHFN_AUTH               yes
CHFN_RESTRICT           rwh
PASS_MAX_DAYS   99999
PASS_MIN_DAYS   0
PASS_WARN_AGE   7
SYSTEM_UID_MIN            100
SYSTEM_UID_MAX            499
UID_MIN                   500
UID_MAX                 60000
SYSTEM_GID_MIN            100
SYSTEM_GID_MAX            499
GID_MIN                  1000
GID_MAX                 60000
UMASK                   022
USERADD_CMD             /usr/sbin/useradd.local
USERDEL_PRECMD          /usr/sbin/userdel-pre.local
USERDEL_POSTCMD         /usr/sbin/userdel-post.local

Funktioniert lastb denn?

Nein, es sagt mir leider nur:

Code: Select all

# lastb
lastb: /var/log/btmp: No such file or directory
Perhaps this file was removed by the operator to prevent logging lastb info

Könnte das daher kommen, dass in der login.defs FTMP_FILE nicht gesetzt ist? Werde es mal testweise setzen (s.o)

[mr_fish]

nene, das faillog wird vom sshd nicht geschrieben; auch nicht bei UseLogin-direktive ! (wegen -f flag)
bei rlogin, telnet, etc sollte es aber funzen ;)
mach einfach mal ein "login" in deiner session und gib ein falsches passwort für root ein.

Bei login als root schmiert meine SSH session nach der Zeile "login:" komplett ab (Putty von ner Windows Kiste). Bei login als normaler User kommt:

Code: Select all

login
FATAL: cannot change permissions of TTY: Operation not permitted

wenn "/var/log/faillog" nicht existiert, einfach mal touchen ;)
touch /var/log/faillog && chown root:adm /var/log/faillog && chmod 640 /var/log/faillog
killall -HUP syslogd

/var/log/faillog existiert und wird auch immer mal geschrieben (von wem oder was auch immer), aber nicht in dem Moment eines extra ausprobierten falschen Logins...