Разница между неудачной аутентификацией и неудачными входами в aureport
Теперь, когда выпущено обновление для Windows 10 Anniversary Update (Win10AU), я хотел прояснить несколько пунктов:
Терминология:
Да, название этого материала далека от оптимального, но просто будем рады, что мы этого не называли. Подсистема Windows для запуска POSIX, GNU и Linux совместимых средств командной строки и приложений - WSRPGLCCLTA;) Подсистема Windows для Linux (WSL) - это имя (необязательной) функции Windows который обеспечивает дистрибутив-агностик, совместимый с ядром Linux, инфраструктуру, которая может загружать и запускать немодифицированные двоичные файлы Linux ELF-64. Bash.exe - это исполняемый файл Windows, который запускается при вводе bash в командной строке Windows / PowerShell / etc. Все, что он делает, это открыть консольное окно и просит WSL запустить двоичный файл /bin/bash Linux. Bash на Ubuntu в Windows - это имя экземпляра Ubuntu, который вы устанавливаете при запуске Bash.exe в первый раз после включения режима разработки и WSL. Я часто ссылаюсь на Bash / WSL как ярлык для ссылки на весь набор функций. Bash / WSL FAR больше, чем просто приглашение Bash - он позволяет запускать много / большинство GNU / Linux инструментов командной строки пользователя непосредственно в Windows. Таким образом, он позволяет запускать и устанавливать / управлять пакетами с помощью apt-get и dpkg. Bash / WSL - это функция «Бета» в Win10AU, поскольку она еще не завершена. Несмотря на то, что он очень много работает с множеством инструментов, особенно необходим его сетевой стек и поддержка устройств. Мы продолжаем добавлять дополнительные возможности для будущих выпусков как можно быстрееЧтобы ответить на исходный вопрос @Maryann Ethan:
Возможно, вы сможете запустить то, что вам нужно, в Bash / WSL , Если вы не можете, вы можете использовать VM вместо этого, поскольку @LiveWireBT предложил
Почему / когда вы используете Bash / WSL против VM?
Linux VM и связанная с ними инфраструктура VM (например, Hyper-V / VirtualBox / VMWare / и т. д.) потребляют довольно много места и ресурсов.
Bash / WSL требует FAR меньше ресурсов / пространства и сидит рядом с остальными вашими инструментами, приложениями и т. Д. Windows и может напрямую обращаться к файлам на вашем Windows файловой системы, если хотите, очень быстро, очень быстро. Тем не менее, Bash / WSL является очень новым и пока еще неполным, поэтому вы можете найти несовместимости или проблемы.
HTH.
2 ответа
Хорошо, я считаю, что я взломал это:
При успешном входе в систему вы создаете 1 логин и 2 аутентификации (один для PAM и один для sshd):
type=USER_AUTH msg=audit(1526764807.252:118047): pid=25901 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=pam_unix acct="root" exe="/usr/sbin/sshd" hostname=172.16.1.10 addr=172.16.1.10 terminal=ssh res=success'
type=USER_AUTH msg=audit(1526764807.261:118050): pid=25901 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=success acct="root" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.10 terminal=ssh res=success'
type=USER_LOGIN msg=audit(1526764807.488:118058): pid=25907 uid=0 auid=0 ses=16568 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=172.16.1.10 addr=172.16.1.10 terminal=/dev/pts/1 res=success'
Однако при неудачном входе в систему это зависит от многих факторов, в моем случае я сделал логин с неправильным именем пользователя и предоставил пароль. Это сгенерировало 1 неудачу входа в систему и 3 сообщения об ошибках аутентификации (1 для попытки открытого ключа, 1 для пароля и 1 для sshd):
type=USER_AUTH msg=audit(1526765733.046:118093): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=pubkey acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'
type=USER_AUTH msg=audit(1526765734.217:118094): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="incorrectuser" exe="/usr/sbin/sshd" hostname=172.16.1.101 addr=172.16.1.101 terminal=ssh res=failed'
type=USER_AUTH msg=audit(1526765736.654:118095): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=password acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'
type=USER_LOGIN msg=audit(1526765737.144:118101): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'
В принципе, если я опускаю использование открытого ключа принудительный ввод пароля с помощью опции ssh, я получаю только два сообщения аутентификации вместо трех.
Я отмечаю это как Solved. Однако, если у кого-то есть справочный документ, где он больше погружается в это, я был бы более чем счастлив иметь его.
Хорошо, я считаю, что я взломал это:
При успешном входе в систему вы создаете 1 логин и 2 аутентификации (один для PAM и один для sshd):
type=USER_AUTH msg=audit(1526764807.252:118047): pid=25901 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=pam_unix acct="root" exe="/usr/sbin/sshd" hostname=172.16.1.10 addr=172.16.1.10 terminal=ssh res=success'
type=USER_AUTH msg=audit(1526764807.261:118050): pid=25901 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=success acct="root" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.10 terminal=ssh res=success'
type=USER_LOGIN msg=audit(1526764807.488:118058): pid=25907 uid=0 auid=0 ses=16568 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=172.16.1.10 addr=172.16.1.10 terminal=/dev/pts/1 res=success'
Однако при неудачном входе в систему это зависит от многих факторов, в моем случае я сделал логин с неправильным именем пользователя и предоставил пароль. Это сгенерировало 1 неудачу входа в систему и 3 сообщения об ошибках аутентификации (1 для попытки открытого ключа, 1 для пароля и 1 для sshd):
type=USER_AUTH msg=audit(1526765733.046:118093): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=pubkey acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'
type=USER_AUTH msg=audit(1526765734.217:118094): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="incorrectuser" exe="/usr/sbin/sshd" hostname=172.16.1.101 addr=172.16.1.101 terminal=ssh res=failed'
type=USER_AUTH msg=audit(1526765736.654:118095): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=password acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'
type=USER_LOGIN msg=audit(1526765737.144:118101): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'
В принципе, если я опускаю использование открытого ключа принудительный ввод пароля с помощью опции ssh, я получаю только два сообщения аутентификации вместо трех.
Я отмечаю это как Solved. Однако, если у кого-то есть справочный документ, где он больше погружается в это, я был бы более чем счастлив иметь его.