L'un des signes indiquant qu'un attaquant pourrait tenter de s'introduire dans un système sera l'échec des tentatives de connexion. Le fichier /var/log/faillog conserve une trace des tentatives d'authentification ayant échoué. La commande faillog lit ce fichier journal /var/log/faillog et affiche les comptes qui n'ont pas réussi à se connecter depuis le dernier échec.
La commande « faillog -a » répertorie toutes les tentatives de connexion ayant échoué, y compris celles qui ont depuis eu une authentification réussie.
Exemples de commande faillog
1. Pour afficher les enregistrements du journal des échecs pour tous les utilisateurs :
# faillog -a
(S'il n'affiche aucun fichier "/var/log/faillog", créez-le)
2. Pour verrouiller un compte pendant une durée spécifiée en secondes après un échec de connexion :
# faillog -l 60 mike # faillog -ul 60 mike
3. Pour définir le nombre maximum d'échecs de connexion :
# faillog -m 10 mike # faillog --maximum 10 mike
4. Pour réinitialiser les compteurs d'échecs de connexion :
# faillog -r mike # faillog -ur mike # faillog --reset mike
5. Pour afficher les enregistrements du journal des échecs plus récents que DAYS :
# faillog -t 5 mike # faillog --time DAYS mike
6. Pour afficher l'enregistrement du journal des échecs ou maintenir les compteurs d'échec et les limites :
# faillog -u mike # faillog --user LOGIN|RANGE mike
7. Pour obtenir de l'aide pour faillog :
# faillog -h # faillog --help
Le journal /var/log/faillog
Ce fichier journal contient les échecs de connexion des utilisateurs. Cela peut être très important lors du suivi des tentatives de piratage du système. Habituellement, un utilisateur normal peut parfois avoir une ou deux tentatives de connexion infructueuses. De nombreuses tentatives de connexion infructueuses, ou même de fréquentes tentatives de connexion infructueuses qui se produisent à divers moments, peuvent indiquer que quelqu'un tente de compromettre l'accès au système. Il convient également de noter les heures des tentatives de connexion infructueuses. Si un employé travaille normalement de 8h00 à 17h00 et qu'il y a des tentatives de connexion infructueuses à 23h00, cela peut être un signe d'avertissement.
Comment utiliser faillog pour suivre les tentatives de connexion infructueuses ?
1. Ouvrez le fichier /etc/pam.d/system-auth pour le modifier.
Ajoutez les lignes suivantes :
auth required pam_tally.so no_magic_root account required pam_tally.so deny=2 no_magic_root
2. Enregistrez le fichier et quittez.
3. Testez la configuration en essayant de vous connecter en tant qu'utilisateur normal, mais en utilisant un mauvais mot de passe.
4. Vérifiez les incréments de comptage ayant échoué en exécutant la commande :
# faillog -u [username]
La connexion échouée est enregistrée dans /var/log/faillog dans un format binaire spécifique par défaut, et l'utilitaire faillog peut uniquement analyser /var/log/faillog pour obtenir les connexions échouées. Nous n'avons aucune option pour créer un faillog pour lire les journaux à d'autres endroits.