Логировать не успешные попытки смены пароля

gurlov

New member
Сообщения
5
#1
Здравствуйте, уважаемые.
Подскажите, пожалуйста, может ли AstraLinux CE 2.12 при каких-либо настройках регистрировать в логах не только события смены пароля пользователя, но и не успешные попытки его изменить?
 
Сообщения
156
#2
Так себе решение, но любопытно довольно:

Bash:
user@astra:~$ script
Скрипт запущен, файл — typescript
user@astra:~$
user@astra:~$ passwd
Смена пароля для use.
(текущий) пароль UNIX:

passwd: Ошибка при операциях с маркером проверки подлинности
passwd: пароль не изменён
user@astra:~$
user@astra:~$ exit
exit
Скрипт выполнен, файл - typescript
user@astra:~$
user@astra:~$ cat typescript
Скрипт запущен Чт 05 мар 2020 12:21:05
user@astra:~$
user@astra:~$ passwd
Смена пароля для use.
(текущий) пароль UNIX:

passwd: Ошибка при операциях с маркером проверки подлинности
passwd: пароль не изменён
user@astra:~$
user@astra:~$ exit
exit

Скрипт выполнен Чт 05 мар 2020 12:22:17
user@astra:~$
 

oko

New member
Сообщения
550
#4
to gurlov
/var/log/auth.log, не?
В случае неверного ввода текущего пароля:
Mar 7 14:25:14 testsrv passwd[2732]: pam_unix(passwd:chauthtok): authentication failure; logname=superbelka uid=1000 euid=0 tty= ruser= rhost= user=user1
Mar 7 14:25:14 testsrv passwd[2732]: pam_winbind(passwd:chauthtok): valid_user: wbcGetpwnam gave WBC_ERR_DOMAIN_NOT_FOUND
В случае неверного подтверждения пароля или ошибки проверки сложности пароля:
Mar 7 14:26:35 testsrv passwd[2732]: pam_unix(passwd:chauthtok): authentication failure; logname=user1 uid=1000 euid=0 tty= ruser= rhost= user=user1
Mar 7 14:26:35 testsrv passwd[2732]: pam_winbind(passwd:chauthtok): valid_user: wbcGetpwnam gave WBC_ERR_DOMAIN_NOT_FOUND
Mar 7 14:26:36 testsrv passwd[2756]: pam_cracklib(passwd:chauthtok): pam_get_authtok_verify returned error: Службе паролей не удалось выполнить предварительную проверку
Mar 7 14:26:38 testsrv passwd[2756]: pam_cracklib(passwd:chauthtok): pam_get_authtok_verify returned error: Службе паролей не удалось выполнить предварительную проверку
Косяк в том, что в /var/log/auth.log сыпется и ненужный хлам по части авторизации пользователей (включая служебных). Но тут уж можно либо фильтровать, либо перенаправлять нужные данные через тот же /etc/rsyslog.d/...
Можно еще запилить доп.скрипт /usr/bin/passwd_new.sh, в котором добавить человеческое описание смены пароля через echo с указанием $USER - имя вызывающего пользователя - и вызов общей утилиты /usr/bin/passwd. Затем данным скриптом заменить /usr/bin/passwd (настоящую утилиту можно переименовать /usr/bin/passwd_back) и радоваться жизни (при условии, что в ОС не включен режим замкнутой программной среды и запрета исполнения скриптов, ага)...
По-идее, аналогичная ситуация будет проявляться в логах при использовании графической утилиты fly-passwd вместо консольной passwd. Честно говоря, не проверял, потому что на сервере нет графики :)

to суслик
Скажите, а вы такую шляпу зачем предлагаете надеваете?
 

azm9s

New member
Сообщения
200
#6
и запрета исполнения скриптов, ага)...
как показала практика делать надо так:
пишем скрипт
снимает запрет
ставим +х, добро на исполнение на скрипт.
ставим обратно запрет
скрипт прекрасно запускается.

у меня так запускаются рабочие средства отображения с 50 по 58 (матрица из 9 миниторов). 0 - это сам рабочий стол, а 50-58 - нужные мне программы в полноэкранном режиме этих "виртуальных" рабочих столов...

Затем данным скриптом заменить /usr/bin/passwd (настоящую утилиту можно переименовать /usr/bin/passwd_back)
зачем?
можно на скрипт навесить алиас.
 
Последнее редактирование:

oko

New member
Сообщения
550
#7
to суслик
Не исключено. Это же алыверды, ага...

to azm9s
Можно, конечно :)
Правда, сейчас обратил внимание на Common Edition, в которой, насколько знаю, ЗПС и прочее отсутствует...
 

azm9s

New member
Сообщения
200
#8
ЫЫ...
точно CE версия :)
тоды проще:
alias passwd = 'что там чего надо...'
 

gurlov

New member
Сообщения
5
#9
to gurlov
/var/log/auth.log, не?
В случае неверного ввода текущего пароля:
...
В случае неверного подтверждения пароля или ошибки проверки сложности пароля:
...
А как на счёт команды
Bash:
user@astra:~$ passwd user2
где user не уполномочен в sudoers на изменения пароля другим учётным записям?
 

oko

New member
Сообщения
550
#10
to gurlov
Костыль с заменой passwd на скрипт с нужным логированием (до исполнения самой passwd) все равно сработает...
А вот по умолчанию вроде никак...
 

gurlov

New member
Сообщения
5
#11
... а ведь ещё не регистрируется такая "операция" с паролем, как блокировка\ разблокировка пользователя (passwd -l, passws -u). нет такого типа события как USER_CHAUTHTOK в аудите из состава ОС?