系统管理指南:安全性服务

Procedure如何监视所有失败的登录尝试

此过程捕获 syslog 文件中所有失败的登录尝试。

  1. 承担主管理员角色,或成为超级用户。

    主管理员角色拥有主管理员配置文件。要创建角色并将角色指定给用户,请参见《系统管理指南:基本管理》中的第 2  章 “使用 Solaris Management Console(任务)”

  2. 使用所需的 SYSLOGSYSLOG_FAILED_LOGINS 值设置 /etc/default/login 文件。

    编辑 /etc/default/login 文件以更改相应项。请确保取消对 SYSLOG=YES 的注释。


    # grep SYSLOG /etc/default/login
    
    # SYSLOG determines whether the syslog(3) LOG_AUTH facility 
    
    # should be used
    
    SYSLOG=YESSYSLOG_FAILED_LOGINS=0
    
    #
  3. 使用正确的权限创建文件以保存日志信息。

    1. /var/adm 目录中创建 authlog 文件。


      # touch /var/adm/authlog
      
    2. authlog 文件中,为 root 用户设置读写权限。


      # chmod 600 /var/adm/authlog
      
    3. authlog 文件中,将组成员关系更改为 sys


      # chgrp sys /var/adm/authlog
      
  4. 编辑 syslog.conf 文件以记录失败的口令尝试。

    这些失败应发送到 authlog 文件。

    1. syslog.conf 文件中键入以下项。

      使用制表符分隔 syslog.conf 的同一行中的字段。


      auth.notice <按 Tab 键>  /var/adm/authlog
    2. 刷新 syslog 守护进程的配置信息。


      # svcadm refresh system/system-log
      
  5. 检验日志是否正常工作。

    例如,使用错误的口令以普通用户的身份登录系统。然后,以主管理员角色或超级用户身份显示 /var/adm/authlog 文件。


    # more /var/adm/authlog
    
    Nov  4 14:46:11 example1 login: [ID 143248 auth.notice] 
    
     Login failure on /dev/pts/8 from example2, stacey
    
    #
  6. 定期监视 /var/adm/authlog 文件。


示例 3–4 在三次登录失败后记录访问尝试

按照上述过程进行操作,但在 /etc/default/login 文件中将 SYSLOG_FAILED_LOGINS 的值设置为 3



示例 3–5 在三次登录失败后关闭连接

/etc/default/login 文件中取消对 RETRIES 项的注释,然后将 RETRIES 的值设置为 3。所做编辑将立即生效。在一个会话中重试登录三次后,系统便会关闭连接。