Это на платформе Solaris 10 sparc.
Я пытаюсь заставить наш сценарий denyhosts блокировать атаки ssh по словарю. К сожалению, в журнале не отображается IP, если имя пользователя недействительно.
Мы используем модуль winbind в pam.conf
Если я намеренно ввожу неверный пароль для хорошего имени пользователя, он регистрируется следующим образом:
Mar 30 14:49:21 t2000 sshd[29870]: [ID 800047 auth.notice] Failed keyboard-interactive for fpicabia from 111.222.333.444 port 52567 ssh2
Это показывает IP-адрес, который я хочу сохранить для последующего сканирования denyhosts. Здесь нет проблем.
Если я вхожу в систему с поддельным именем пользователя, в журнале не отображается информация об IP:
Mar 30 14:55:57 t2000 sshd[1816]: [ID 186046 auth.error] pam_winbind(sshd-kbdint): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_USER_UNKNOWN (13), NTSTATUS: NT_STATUS_NO_SUCH_USER, Error message was: No such user
В / etc / ssh / sshd_config я уже использую подробное описание для ведения журнала:
SyslogFacility auth
LogLevel VERBOSE
В pam.conf у меня есть следующие настройки для winbind:
login auth sufficient pam_winbind.so.1 debug
other auth sufficient pam_winbind.so.1 try_first_pass debug
В Linux модуль winbind сообщает об IP-адресе в журнале аутентификации только с логическим уровнем INFO и без включения отладки в модуле pam. Ограничение характерно для Solaris и его модуля winbind.
Как я могу получить IP-адрес, отображаемый в журнале аутентификации, когда пользователь неизвестен?
Как-то раньше это не регистрировало достаточно подробностей, несмотря на перезапуск winbind и ssh.
Сервер был перезагружен по другим причинам, и теперь в журнал включен IP-адрес недействительного пользователя с теми же настройками, что и рассматриваемый.