Учетная запись службы AIX - как узнать, кто ее блокирует

1294
Payson

У меня есть не истекающая учетная запись службы на сервере AIX. Я использую учетную запись для подключения к моей базе данных.

Каждые пару недель какой-либо пользователь или задача пытается подключиться к учетной записи с неверным паролем, и учетная запись блокируется. Это вызывает у меня дни задержки, чтобы снова разблокировать аккаунт.

Я спросил всех людей, которые, кажется, могут подключиться, но все они говорят, что это не они. Системные администраторы AIX говорят мне, что не могут отследить, кто пытается подключиться. Это кто-то в нашей внутренней сети.

Есть ли в AIX способ отслеживания, кто пытается установить соединение? Возможно, журнал IP-адресов, пытающихся подключиться?

2
Все люди, которые, скорее всего, будут блокировать учетную запись, отрицают, что они или их программы делают это. Да, один из них не прав, но я не знаю, кто. Payson 8 лет назад 1
ОК - я отредактировал это в вопросе. David Richerby 8 лет назад 0

2 ответа на вопрос

0
A_G

По сути, с административной точки зрения все приложения и команда БД должны иметь свой собственный скрипт мониторинга, который должен выполнять трюк для мониторинга команд, выполняемых отдельными лицами, и времени входа в систему.

Я сам являюсь администратором AIX. Когда такая же ситуация возникает у любой команды разработчиков приложений с общей учетной записью, они приходят к нам и спрашивают, кто ее заблокировал? Ответ: Нет прямого ответа на этот вопрос со мной, но это своего рода предсказательный ответ. (Может быть, это причина, почему это до сих пор остается без ответа). Я использовал для проверки всех неудачных / неудачных попыток входа в систему для этой учетной записи, так как пользователи сначала будут входить на этот хост со своей собственной учетной записью, а затем выполнять sudo для этой учетной записи приложения. Затем я бы проверил, все ли члены этой учетной записи приложения вошли на этот сервер в этом экземпляре. Я бы дал им идентификаторы этих пользователей человеку, который попросил об этом.

Примечание. Администраторы AIX обычно проверяют записи в / var / adm / wtmp и / etc / security / failedlogin, чтобы понять, кто выполнил вход на сервер и в какое время и кто зарегистрировал неудачный вход.

Надеюсь это немного поможет.

0
chingNotCHing

Прямо в / var / adm / syslog по умолчанию выглядело так

Dec 13 18:43:33 moscow auth|security:info sshd[14483679]: Failed password for myservacct from 192.168.0.12 port 59148 ssh2 Dec 13 18:43:38 moscow auth|security:info syslog: ssh: failed login attempt for myservacct from 192.168.0.12

простой grep будет собирать неудачные попытки, например

> tail -1000 /var/adm/syslog | grep -i failed.*myservacct

Если такой информации нет, проверьте, установлен ли ваш /etc/syslog.conf для записи auth.info в ваш файл журнала.

Похожие вопросы