Page 1 of 1
faillog verhält sich eigenartig
Posted: 2004-06-18 12:43
by mr_fish
Mit faillog kann ich ja bekanntermaßen fehlgeschlagene Login anzeigen lassen. Leider klappt das bei mir nicht. Nach mehreren extra von mir ausgeführten Login-Versuchen als root mit falschen Passwörtern kommit immer:
Code: Select all
# faillog -u root
Username Failures Maximum Latest
root 0 0
Normalerweise hätten hier doch die falschen Logins erscheinen müssen. Die Datei /var/log/faillog (Binärdatei) wurde auch nicht zum Zeitpunkt des falschen Logins neu geschrieben ...
Die Anzeige von last funktioniert im Ã?brigen korrekt.
Weiß jemand Rat? Das deutet ja wohl hoffentlich nicht auf ein Rootkit hin...
Grüße
Fish
Re: faillog verhält sich eigenartig
Posted: 2004-07-01 13:00
by mr_fish
Weiß wirklich niemand, warum faillog bei mir nicht richtig anzeigt???
Danke & Grüße
Mr_Fish
Re: faillog verhält sich eigenartig
Posted: 2004-07-01 14:06
by theomega
nachdem du mich auf den Befehl gebracht hast, wollte ich ihn auf meinen Debian woddy auch ausprobieren, aber hier streikt der Befehl, weil es garkeine /var/log/faillog gibt!
Weiß jemand, wie man login (?) dazu überreden kann hier hinein zu loggen?
Re: faillog verhält sich eigenartig
Posted: 2004-07-03 12:15
by mr_fish
Das ist ja wirklich krass, das keiner der Linux-Gurus weiß, was es mit dem Befehl faillog auf sich hat
Gibt es denn wenigsten jemanden, bei dem faillog die fehlerhaften loginversuche korrekt anzeigt?
Grüße
Fish
Re: faillog verhält sich eigenartig
Posted: 2004-07-03 13:09
by floschi
Was erwartest du?
Das jemand mit seiner Glaskugel schaut, ob du in /etc/login.defs etwas anders eingestellt hast?
Funktioniert lastb denn?
Re: faillog verhält sich eigenartig
Posted: 2004-07-03 14:28
by rootmaster
Mr_Fish wrote:
Weiß jemand Rat? Das deutet ja wohl hoffentlich nicht auf ein Rootkit hin...
nene, das faillog wird vom sshd nicht geschrieben; auch nicht bei UseLogin-direktive ! (wegen -f flag)
bei rlogin, telnet, etc sollte es aber funzen ;)
mach einfach mal ein "login" in deiner session und gib ein falsches passwort für root ein.
wenn "/var/log/faillog" nicht existiert, einfach mal touchen ;)
touch /var/log/faillog && chown root:adm /var/log/faillog && chmod 640 /var/log/faillog
killall -HUP syslogd
"back to the roots"
Re: faillog verhält sich eigenartig
Posted: 2004-07-03 19:04
by mr_fish
Erst mal danke für deine Antwort!!!
olfi wrote:Was erwartest du?
Das jemand mit seiner Glaskugel schaut, ob du in /etc/login.defs etwas anders eingestellt hast?
Erwarte ich natürlich nicht. Aber über lastlog ist im Netz kaum was zu finden... In meiner login.defs ist LASTLOG_ENAB auf yes. Ansonsten steht dort noch:
Code: Select all
DEFAULT_HOME yes
ENV_PATH /usr/local/bin:/usr/bin:/bin
ENV_ROOTPATH /sbin:/bin:/usr/sbin:/usr/bin
FAIL_DELAY 3
FAILLOG_ENAB yes
#FTMP_FILE /var/log/btmp
HUSHLOGIN_FILE /etc/hushlogins
LASTLOG_ENAB yes
LOG_UNKFAIL_ENAB no
LOGIN_RETRIES 3
LOGIN_TIMEOUT 60
MOTD_FILE /etc/motd
TTYTYPE_FILE /etc/ttytype
TTYGROUP tty
TTYPERM 0620
CHFN_AUTH yes
CHFN_RESTRICT rwh
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_WARN_AGE 7
SYSTEM_UID_MIN 100
SYSTEM_UID_MAX 499
UID_MIN 500
UID_MAX 60000
SYSTEM_GID_MIN 100
SYSTEM_GID_MAX 499
GID_MIN 1000
GID_MAX 60000
UMASK 022
USERADD_CMD /usr/sbin/useradd.local
USERDEL_PRECMD /usr/sbin/userdel-pre.local
USERDEL_POSTCMD /usr/sbin/userdel-post.local
olfi wrote:
Funktioniert lastb denn?
Nein, es sagt mir leider nur:
Code: Select all
# lastb
lastb: /var/log/btmp: No such file or directory
Perhaps this file was removed by the operator to prevent logging lastb info
Könnte das daher kommen, dass in der login.defs FTMP_FILE nicht gesetzt ist? Werde es mal testweise setzen (s.o)
Re: faillog verhält sich eigenartig
Posted: 2004-07-03 19:16
by mr_fish
rootmaster wrote:nene, das faillog wird vom sshd nicht geschrieben; auch nicht bei UseLogin-direktive ! (wegen -f flag)
bei rlogin, telnet, etc sollte es aber funzen ;)
mach einfach mal ein "login" in deiner session und gib ein falsches passwort für root ein.
Bei login als root schmiert meine SSH session nach der Zeile "login:" komplett ab (Putty von ner Windows Kiste). Bei login als normaler User kommt:
Code: Select all
login
FATAL: cannot change permissions of TTY: Operation not permitted
rootmaster wrote:
wenn "/var/log/faillog" nicht existiert, einfach mal touchen ;)
touch /var/log/faillog && chown root:adm /var/log/faillog && chmod 640 /var/log/faillog
killall -HUP syslogd
/var/log/faillog existiert und wird auch immer mal geschrieben (von wem oder was auch immer), aber nicht in dem Moment eines extra ausprobierten falschen Logins...