Разница между неудачной аутентификацией и неудачным входом в систему в aureport [закрыто]
No necesita habilitar nada para hacer cumplir el comportamiento documentado para backports, pero sí debe asegurarse de que el sistema sepa de dónde provienen los paquetes instalados. En su caso, tiene una versión de systemdde stretch/updates, pero sus fuentes no hacen referencia a eso, por lo que aptle da a la versión instalada de systemduna puntuación de 100 que es menor o igual a la backports score (vea su salida apt policy).
Para solucionar esto, asegúrese de que su /etc/apt/sources.listtenga entradas para stretch-updates, algo así como
deb http://ftp.debian.org/debian stretch-updates main
deb-src http://ftp.debian.org/debian stretch-updates main
Debería ver apt policy systemddar los siguientes resultados:
systemd:
Installed: 232-25+deb9u3
Candidate: 232-25+deb9u3
Version table:
237-3~bpo9+1 100
100 http://ftp.debian.org/debian stretch-backports/main amd64 Packages
*** 232-25+deb9u3 500
500 http://ftp.debian.org/debian stretch-updates/main amd64 Packages
100 /usr/var/lib/dpkg/status
232-25+deb9u2 500
500 http://ftp.debian.org/debian stretch/main amd64 Packages
Muy bien, creo que he descifrado esto:
En un inicio de sesión exitoso, genera 1 inicio de sesión y 2 autenticaciones (Uno para PAM,y uno para sshd):
type=USER_AUTH msg=audit(1526764807.252:118047): pid=25901 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=pam_unix acct="root" exe="/usr/sbin/sshd" hostname=172.16.1.10 addr=172.16.1.10 terminal=ssh res=success'
type=USER_AUTH msg=audit(1526764807.261:118050): pid=25901 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=success acct="root" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.10 terminal=ssh res=success'
type=USER_LOGIN msg=audit(1526764807.488:118058): pid=25907 uid=0 auid=0 ses=16568 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=login id=0 exe="/usr/sbin/sshd" hostname=172.16.1.10 addr=172.16.1.10 terminal=/dev/pts/1 res=success'
Sin embargo, en un inicio de sesión fallido, depende de muchos factores, en mi caso, hice un inicio de sesión con un nombre de usuario incorrecto y proporcioné una contraseña. Esto generó 1 error de inicio de sesión y 3 mensajes de error de autenticación (1 para intento de clave pública, 1 para contraseña y 1 para sshd):
type=USER_AUTH msg=audit(1526765733.046:118093): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=pubkey acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'
type=USER_AUTH msg=audit(1526765734.217:118094): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=PAM:authentication grantors=? acct="incorrectuser" exe="/usr/sbin/sshd" hostname=172.16.1.101 addr=172.16.1.101 terminal=ssh res=failed'
type=USER_AUTH msg=audit(1526765736.654:118095): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=password acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'
type=USER_LOGIN msg=audit(1526765737.144:118101): pid=27246 uid=0 auid=4294967295 ses=4294967295 subj=system_u:system_r:sshd_t:s0-s0:c0.c1023 msg='op=login acct="incorrectuser" exe="/usr/sbin/sshd" hostname=? addr=172.16.1.101 terminal=ssh res=failed'
Entonces, básicamente, si omito el uso de la clave pública al forzar el inicio de sesión con contraseña con la opción ssh, recibo solo dos mensajes de autenticación, en lugar de tres.
Estoy marcando esto como Resuelto. Sin embargo, si alguien tiene algún documento de referencia donde profundice más en esto, estaría más que feliz de tenerlo.