From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <iadzhubey@rics.bwh.harvard.edu>
Date: Sun, 20 Mar 2005 21:56:06 -0500
From: Ivan Adzhubey <iadzhubey@rics.bwh.harvard.edu>
To: sisyphus@altlinux.ru
Message-id: <200503202156.06966.iadzhubey@rics.bwh.harvard.edu>
MIME-version: 1.0
Content-type: text/plain; charset=koi8-r
Content-transfer-encoding: 8BIT
Content-disposition: inline
User-Agent: KMail/1.7.2
Subject: [sisyphus] =?koi8-r?b?89TSwc7Oz8Ug0M/XxcTFzsnFIHNzaGQgKw==?= pam_tcb
X-BeenThere: sisyphus@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: ALT Linux Sisyphus discussion list <sisyphus@altlinux.ru>
List-Id: ALT Linux Sisyphus discussion list <sisyphus.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/sisyphus>
List-Post: <mailto:sisyphus@altlinux.ru>
List-Help: <mailto:sisyphus-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Mon, 21 Mar 2005 02:56:09 -0000
Archived-At: <http://lore.altlinux.org/sisyphus/200503202156.06966.iadzhubey@rics.bwh.harvard.edu/>
List-Archive: <http://lore.altlinux.org/sisyphus/>

Приветствую!

Наблюдаю в логах сервера странные записи от sshd. Возможно, это оффтопик, но 
tcb у нас обновлялся недавно, так что может и нет.

Mar 21 03:59:00 protein pam_tcb[11810]: sshd: Session opened for ivan by 
(uid=500)
Mar 21 03:59:00 protein pam_limits[11810]: checking if ivan is in group root
Mar 21 03:59:00 protein pam_tcb[11810]: sshd: Session closed for ivan
Mar 21 03:59:05 protein pam_tcb[11816]: sshd: Authentication failed for ivan 
from (uid=0)
Mar 21 03:59:06 protein pam_tcb[11822]: sshd: Session opened for ivan by 
(uid=500)
Mar 21 03:59:06 protein pam_limits[11822]: checking if ivan is in group root
Mar 21 03:59:06 protein pam_tcb[11822]: sshd: Session closed for ivan
Mar 21 03:59:16 protein pam_tcb[11831]: sshd: Authentication failed for ivan 
from (uid=0)
Mar 21 03:59:17 protein pam_tcb[11839]: sshd: Session opened for ivan by 
(uid=500)
Mar 21 03:59:17 protein pam_limits[11839]: checking if ivan is in group root
Mar 21 03:59:17 protein pam_tcb[11839]: sshd: Session closed for ivan
Mar 21 03:59:22 protein pam_tcb[11850]: sshd: Authentication failed for ivan 
from (uid=0)
Mar 21 03:59:23 protein pam_tcb[11856]: sshd: Session opened for ivan by 
(uid=500)
Mar 21 03:59:23 protein pam_limits[11856]: checking if ivan is in group root

И так много раз - сессия открывается и тут же закрывается, все в пределах 
одной секунды. Я в это время залогинен на сервер по ssh интерактивно и еще 
висит пара ssh с port forwarding. Это глюки pam_tcb или все-таки взлом?

Как-то можно повысить информативность логов от sshd, чтобы он всегда писал IP 
адрес клиента?

-- 
Иван