Under Construction

utmp-Einträge von sshd(8)

Die meisten utmp-Einträge auf aktuellen AIX-Systemen dürften von sshd(8) stammen. Dieser erzeugt Login-Records beim Ein- und Ausloggen von Benutzern.

Das Starten des Dienstes sshd generiert noch keine utmp-Einträge.

Erst ein Login-Versuch durch einen Benutzer generiert utmp-Einträge:

$ ssh aix01
user1's Password:
Last unsuccessful login: Thu Jan 13 13:34:52 2022 on ssh from aixnim
Last login: Thu Jan 13 13:35:07 2022 on ssh from aixnim
...
$ tty
/dev/pts/0
$

Die Schnittstelle (virtuelles Terminal) ist in diesem Falle pts/0. Es wurde ein Typ 7 (USER_PROCESS) Eintrag in /etc/utmp und /var/adm/wtmp generiert:

# /usr/sbin/acct/fwtmp </etc/utmp | grep pts/0
user1   pts/0          pts/0         7 5832840 0015 126337 1642078038 aixnim                   Thu Jan 13 13:47:18 2022
#

Im Feld ut_id, in dem normalerweise die ID des inittab-Eintrags eingetragen wird, wird das verwendete Pseudo-Terminal (hier pts/0) eingetragen.

Loggt der Benutzer sich wieder aus:

$ exit
logout
Connection to aix01 closed.
$

dann wird vom sshd(8) ein Typ 8 (DEAD_PROCESS) Eintrag in /etc/utmp und /var/adm/wtmp erzeugt:

# /usr/sbin/acct/fwtmp </etc/utmp | grep pts/0
user1   pts/0          pts/0         8 5832840 0001 13162 1642078818                                  Thu Jan 13 14:00:18 2022
#


Wie schon bei getty(1) (und init(1)), werden in /etc/utmp vorhandene Einträge für eine Schnittstelle wiederverwendet und überschrieben. Es gibt also nicht gleichzeitig einen Typ 7 (USER_PROCESS) und einen Typ 8 (DEAD_PROCESS) Eintrag in der /etc/utmp.

Ein fehlerhafter Login-Versuch, mit einem ungültigen Benutzernamen, führt zu einem Typ 7 (USER_PROCESS) Eintrag in /etc/security/failedlogin. Dabei wird als Benutzername (ut_user) UNKNOWN_USER und anstelle einer Schnittstelle die Zeichenkette „ssh“ in ut_line hinterlegt:

# /usr/sbin/acct/fwtmp -X </etc/security/failedlogin

UNKNOWN_USER                ssh           7 8913024 0000 0000 1642080048 aixnim                   Thu Jan 13 14:20:48 2022
#

Ein Login-Versuch mit gültigem Benutzernamen, aber ungültigem Passwort, führt ebenfalls zu einem Eintrag in /etc/security/failedlogin.

$ ssh aix01
user1's Password: XXX
user1's Password: XXX
user1's Password: XXX
user1@aix01's password: XXX
Permission denied, please try again.
user1@aix01's password: XXX
Received disconnect from 10.1.2.3 port 22:2: Too many authentication failures
Authentication failed.
$

Da der Benutzername gültig ist, wird er auch im Feld ut_user hinterlegt:

# /usr/sbin/acct/fwtmp -X </etc/security/failedlogin

user1                   ssh           7 24051880 0000 0000 1642080496 aixnim                   Thu Jan 13 14:28:16 2022
user1                   ssh           7 24051880 0000 0000 1642080497 aixnim                   Thu Jan 13 14:28:17 2022
user1                   ssh           7 24051880 0000 0000 1642080498 aixnim                   Thu Jan 13 14:28:18 2022
user1                   ssh           7 24051880 0000 0000 1642080500 aixnim                   Thu Jan 13 14:28:20 2022
user1                   ssh           7 24051880 0000 0000 1642080502 aixnim                   Thu Jan 13 14:28:22 2022
#

Da beim Login fünf mal das falsche Passwort angegeben wurde, werden auch 5 Fehlversuche in /etc/security/failedlogin festgehalten!

Fehlerhafte Versuche werden nicht in /etc/utmp oder /var/adm/wtmp eingetragen.