Under Construction
utmp-Einträge von sshd(8)
Die meisten utmp-Einträge auf aktuellen AIX-Systemen dürften von sshd(8) stammen. Dieser erzeugt Login-Records beim Ein- und Ausloggen von Benutzern.
Das Starten des Dienstes sshd generiert noch keine utmp-Einträge.
Erst ein Login-Versuch durch einen Benutzer generiert utmp-Einträge:
$ ssh aix01
user1's Password:
Last unsuccessful login: Thu Jan 13 13:34:52 2022 on ssh from aixnim
Last login: Thu Jan 13 13:35:07 2022 on ssh from aixnim
...
$ tty
/dev/pts/0
$
Die Schnittstelle (virtuelles Terminal) ist in diesem Falle pts/0. Es wurde ein Typ 7 (USER_PROCESS) Eintrag in /etc/utmp und /var/adm/wtmp generiert:
# /usr/sbin/acct/fwtmp </etc/utmp | grep pts/0
user1 pts/0 pts/0 7 5832840 0015 126337 1642078038 aixnim Thu Jan 13 13:47:18 2022
#
Im Feld ut_id, in dem normalerweise die ID des inittab-Eintrags eingetragen wird, wird das verwendete Pseudo-Terminal (hier pts/0) eingetragen.
Loggt der Benutzer sich wieder aus:
$ exit
logout
Connection to aix01 closed.
$
dann wird vom sshd(8) ein Typ 8 (DEAD_PROCESS) Eintrag in /etc/utmp und /var/adm/wtmp erzeugt:
# /usr/sbin/acct/fwtmp </etc/utmp | grep pts/0
user1 pts/0 pts/0 8 5832840 0001 13162 1642078818 Thu Jan 13 14:00:18 2022
#
Wie schon bei getty(1) (und init(1)), werden in /etc/utmp vorhandene Einträge für eine Schnittstelle wiederverwendet und überschrieben. Es gibt also nicht gleichzeitig einen Typ 7 (USER_PROCESS) und einen Typ 8 (DEAD_PROCESS) Eintrag in der /etc/utmp.
Ein fehlerhafter Login-Versuch, mit einem ungültigen Benutzernamen, führt zu einem Typ 7 (USER_PROCESS) Eintrag in /etc/security/failedlogin. Dabei wird als Benutzername (ut_user) UNKNOWN_USER und anstelle einer Schnittstelle die Zeichenkette „ssh“ in ut_line hinterlegt:
# /usr/sbin/acct/fwtmp -X </etc/security/failedlogin
…
UNKNOWN_USER ssh 7 8913024 0000 0000 1642080048 aixnim Thu Jan 13 14:20:48 2022
#
Ein Login-Versuch mit gültigem Benutzernamen, aber ungültigem Passwort, führt ebenfalls zu einem Eintrag in /etc/security/failedlogin.
$ ssh aix01
user1's Password: XXX
user1's Password: XXX
user1's Password: XXX
user1@aix01's password: XXX
Permission denied, please try again.
user1@aix01's password: XXX
Received disconnect from 10.1.2.3 port 22:2: Too many authentication failures
Authentication failed.
$
Da der Benutzername gültig ist, wird er auch im Feld ut_user hinterlegt:
# /usr/sbin/acct/fwtmp -X </etc/security/failedlogin
…
user1 ssh 7 24051880 0000 0000 1642080496 aixnim Thu Jan 13 14:28:16 2022
user1 ssh 7 24051880 0000 0000 1642080497 aixnim Thu Jan 13 14:28:17 2022
user1 ssh 7 24051880 0000 0000 1642080498 aixnim Thu Jan 13 14:28:18 2022
user1 ssh 7 24051880 0000 0000 1642080500 aixnim Thu Jan 13 14:28:20 2022
user1 ssh 7 24051880 0000 0000 1642080502 aixnim Thu Jan 13 14:28:22 2022
#
Da beim Login fünf mal das falsche Passwort angegeben wurde, werden auch 5 Fehlversuche in /etc/security/failedlogin festgehalten!
Fehlerhafte Versuche werden nicht in /etc/utmp oder /var/adm/wtmp eingetragen.