Apache в списке последних логинов

Question

Apache в списке последних логинов

Я установил для пользователя apache /sbin/nologin в качестве оболочки, но он по-прежнему много раз появляется в списке последних входов в систему (last команда) - вероятно, кем-то, кто я, конечно, не хотел этого делать.

Что мне здесь не хватает, что еще может вызвать запись в последнем списке входа? Очевидно, он смог войти без оболочки?!

Вот некоторые из записей, на случай, если это поможет.

root     pts/0        xx     Sat Feb 20 13:36   still logged in   
apache   pts/0        xx     Fri Feb 19 01:20 - 01:20  (00:00)    
apache   pts/0        xx     Mon Feb 15 08:57 - 08:57  (00:00)    
apache   pts/0        xx     Wed Feb 10 22:23 - 22:23   (00:00)    
root     pts/0        xx     Sun Feb  7 17:27 - 03:40  (10:13)    
apache   pts/0        xx     Sat Feb  6 16:53 - 16:53  (00:00)    
root     pts/0        xx     Tue Feb  2 18:39 - 18:53  (00:13)    
root     pts/0        xx     Tue Feb  2 18:24 - 18:36  (00:12)    
apache   pts/0        xx     Mon Feb  1 22:48 - 22:48  (00:00)    
apache   pts/0        xx     Mon Feb  1 22:47 - 22:47  (00:00)    
apache   pts/0        xx     Mon Feb  1 22:47 - 22:47  (00:00)    
apache   pts/0        xx     Mon Feb  1 03:09 - 03:09  (00:00)

Также я заметил, что кто-то перепробовал множество других учетных записей (httpd, apache2, httpd2, httpdocs и т. Д.), Которые (конечно) все потерпели неудачу. Список неудачных входов в систему недостаточно длинен для грубой силы, поэтому мне интересно, как он смог войти в итоге...

Спасибо за любые советы заранее

2

linux login

Источник

Yorrd 20 фев '16 в 13:17

1 ответ

Другие вопросы по тегам linux login

crnlx 20 фев '16 в 17:14 2016-02-20 17:14 · Answer 1 · 2016-02-20 17:14

Этот ответ также предназначен для тех, кто может натолкнуться на эту ветку в поисках некоторых советов, особенно если аудит и уведомления не были настроены.

Вы запретили пользователю входить в систему?

grep apache /etc/passwd

Проверить /bin/false или же /usr/sbin/nologin или же /sbin/nologin в конце записи для пользователя.

История неудачных попыток входа

lastb apache

Это покажет вам количество неудачных попыток входа в систему пользователем apache. (Выход lastb показывает записи журнала из /var/log/btmp, в то время как last показывает записи /var/log/wtmp)

Частота и время входа

Проверьте вывод last, Пользователь входит в систему в случайное время? Или это происходит в определенное время каждый день?

Неудачные логины и IP-адреса

grep 'apache' /var/log/auth.log

Так как вы сказали, что были неудачные попытки входа в систему, /var/log/auth.log должен иметь IP-адреса, с которых произошли эти попытки входа в систему (через SSH). Особенно обратите внимание на последние неудачные попытки перед первой успешной попыткой входа в систему. Последнее можно найти, проверив вывод last против этого из lastb, Вы также можете сравнить записи в журнале в /var/log/btmp против тех, кто в /var/log/wtmp,