aureport 中身份驗證失敗和登錄失敗之間的區別

最近我一直在探索 aureport 工具，但我注意到它的輸出和行為有以下幾點。

例如，執行以下命令：

# aureport --failed

顯示以下程式碼段：

Failed Summary Report
======================
Number of failed logins: 11783
Number of failed authentications: 41679

兩者之間究竟有什麼區別？手冊頁也沒有太大幫助：

-l, –login 關於登錄的報告

-au, –auth 報告身份驗證嘗試

失敗的身份驗證和失敗的登錄有什麼區別？我查看了所有我能找到的文件，但沒有人解釋其中的區別。

更新：

我已經做了一些測試，到目前為止，這是我的發現：

• 嘗試使用不正確的使用者名 ssh 進入一個盒子，生成 1 次登錄失敗和 3 次身份驗證失敗。
• 嘗試使用正確的使用者名但密碼不正確的 ssh 進入框，會生成 1 次登錄失敗和 2 次身份驗證失敗。

我還在研究這個。。

好吧，我相信我已經破解了這個：

成功登錄後，您會生成 1 個登錄和 2 個身份驗證（一個用於 PAM，一個用於 sshd）：

type=USER_AUTH msg=audit(1526764807.252:118047): pid=25901 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=pam_unix acct="root" exe="/usr/sbin/sshd" hostname=172.16.1.10 addr=172.16.1.10 terminal=ssh res=success'
type=USER_AUTH msg=audit(1526764807.261:118050): pid=25901 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=success acct="root" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.10 terminal=ssh res=success'

type=USER_LOGIN msg=audit(1526764807.488:118058): pid=25907 uid=0 auid=0 ses=16568 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=172.16.1.10 addr=172.16.1.10 terminal=/dev/pts/1 res=success'

但是，登錄失敗取決於許多因素，在我的情況下，我使用不正確的使用者名登錄，並提供了密碼。這產生了 1 條登錄失敗和 3 條身份驗證失敗消息（1 條用於公鑰嘗試，1 條用於密碼，1 條用於 sshd）：

type=USER_AUTH msg=audit(1526765733.046:118093): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=pubkey acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'
type=USER_AUTH msg=audit(1526765734.217:118094): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="incorrectuser" exe="/usr/sbin/sshd" hostname=172.16.1.101 addr=172.16.1.101 terminal=ssh res=failed'
type=USER_AUTH msg=audit(1526765736.654:118095): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=password acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'    

type=USER_LOGIN msg=audit(1526765737.144:118101): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'

所以基本上，如果我通過使用 ssh 選項強制密碼登錄來省略公鑰的使用，我只會收到兩條身份驗證消息，而不是三個。

我將此標記為已解決。但是，如果有人有任何參考文件可以更深入地了解這一點，我會非常樂意擁有它。

引用自：https://unix.stackexchange.com/questions/444739