Здравствуйте, уважаемые.
Подскажите, пожалуйста, может ли AstraLinux CE 2.12 при каких-либо настройках регистрировать в логах не только события смены пароля пользователя, но и не успешные попытки его изменить?
В случае неверного ввода текущего пароля:
Mar 7 14:25:14 testsrv passwd[2732]: pam_unix(passwd:chauthtok): authentication failure; logname=superbelka uid=1000 euid=0 tty= ruser= rhost= user=user1
Mar 7 14:25:14 testsrv passwd[2732]: pam_winbind(passwd:chauthtok): valid_user: wbcGetpwnam gave WBC_ERR_DOMAIN_NOT_FOUND В случае неверного подтверждения пароля или ошибки проверки сложности пароля:
Mar 7 14:26:35 testsrv passwd[2732]: pam_unix(passwd:chauthtok): authentication failure; logname=user1 uid=1000 euid=0 tty= ruser= rhost= user=user1
Mar 7 14:26:35 testsrv passwd[2732]: pam_winbind(passwd:chauthtok): valid_user: wbcGetpwnam gave WBC_ERR_DOMAIN_NOT_FOUND
Mar 7 14:26:36 testsrv passwd[2756]: pam_cracklib(passwd:chauthtok): pam_get_authtok_verify returned error: Службе паролей не удалось выполнить предварительную проверку
Mar 7 14:26:38 testsrv passwd[2756]: pam_cracklib(passwd:chauthtok): pam_get_authtok_verify returned error: Службе паролей не удалось выполнить предварительную проверку
Косяк в том, что в /var/log/auth.log сыпется и ненужный хлам по части авторизации пользователей (включая служебных). Но тут уж можно либо фильтровать, либо перенаправлять нужные данные через тот же /etc/rsyslog.d/...
Можно еще запилить доп.скрипт /usr/bin/passwd_new.sh, в котором добавить человеческое описание смены пароля через echo с указанием $USER - имя вызывающего пользователя - и вызов общей утилиты /usr/bin/passwd. Затем данным скриптом заменить /usr/bin/passwd (настоящую утилиту можно переименовать /usr/bin/passwd_back) и радоваться жизни (при условии, что в ОС не включен режим замкнутой программной среды и запрета исполнения скриптов, ага)...
По-идее, аналогичная ситуация будет проявляться в логах при использовании графической утилиты fly-passwd вместо консольной passwd. Честно говоря, не проверял, потому что на сервере нет графики
to суслик
Скажите, а вы такую шляпу зачем предлагаете надеваете?
как показала практика делать надо так:
пишем скрипт
снимает запрет
ставим +х, добро на исполнение на скрипт.
ставим обратно запрет
скрипт прекрасно запускается.
у меня так запускаются рабочие средства отображения с 50 по 58 (матрица из 9 миниторов). 0 - это сам рабочий стол, а 50-58 - нужные мне программы в полноэкранном режиме этих "виртуальных" рабочих столов...
to gurlov /var/log/auth.log, не? В случае неверного ввода текущего пароля:
... В случае неверного подтверждения пароля или ошибки проверки сложности пароля:
...
to gurlov
Костыль с заменой passwd на скрипт с нужным логированием (до исполнения самой passwd) все равно сработает...
А вот по умолчанию вроде никак...
... а ведь ещё не регистрируется такая "операция" с паролем, как блокировка\ разблокировка пользователя (passwd -l, passws -u). нет такого типа события как USER_CHAUTHTOK в аудите из состава ОС?