我们有一个CentOS 6.2 x86_64系统,logging看起来是错误的审计信息。 我们收到了一个用户没有真正login的login失败提醒。经过一些诊断,我们发现事件的来源是我们的工具,可以定期检查SSH是否正在应答。 当发生这种情况时,我们看到这个日志这个条目:
type=USER_LOGIN msg=audit(1340312224.011:489216): user pid=28787 uid=0 auid=501 ses=8395 subj=unconfined_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct=28756E6B6E6F776E207A01234567 exe="/usr/sbin/sshd" hostname=? addr=127.0.0.1 terminal=ssh res=failed' 这是我们得到的条目,每当有一个不完整的SSH连接,但通常交stream是相同的ses =值。 出于某种原因,在此系统上,无论login用户如何,它都使用特定用户的交易。 例如,将ssh'ng作为[email protected] ssh'ng并在提供密码之前取消会生成此错误。 尝试使用伪造密码login到不相关的帐户也将创build具有不正确的交易值的条目。