Auth Log показывает успешный вход в систему из отключенных учетных записей пользователей
Мы используем Ubuntu 16.04 и закомментировали несколько пользователей в конфигурации passwd, но журнал аутентификации показывает успешные попытки входа от этих пользователей.
Суть в том, что мы специально указали, какие пользователи могут войти в ОС, а также закомментировали несколько пользователей, но мы все еще получаем успешные попытки входа в систему от этих отключенных пользователей в Ubuntu, но после расследования мы ничего не замечаем (No Bash History и Last Login is также несколько месяцев назад), хотя логин сегодня.
Любая идея или комментарии, пожалуйста!
1 ответ
Если я комментирую одного из своего пользователя в/etc/passwd и попытке войти в систему с ним, auth.log Саис:
Sep 24 14:23:08 myhost sshd[1178]: Invalid user Xuser from 1.2.3.4
Sep 24 14:23:08 myhost sshd[1178]: input_userauth_request: invalid user Xuser [preauth]
Sep 24 14:23:11 myhost sshd[1178]: pam_unix(sshd:auth): check pass; user unknown
Sep 24 14:23:11 myhost sshd[1178]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=remotehost.co.x
Ручному редактированию /etc/passwd и shadow не рекомендуют btw, сделайте вместо этого usermod -L Xuser вместо этого. usermod -U Xuser разблокировал учетную запись disbled.
Одна возможная сцена, о которой я могу думать, существует другой пользовательский каталог, установленный, где те же пользователи существуют также. Я имею в виду что-то как LDAP или NIS/YP.