AIX-Dienstkonto - So finden Sie heraus, wer es sperrt

1356
Payson

Ich habe ein nicht ablaufendes Dienstkonto auf einem AIX-Server. Ich verwende das Konto, um eine Verbindung zu meiner Datenbank herzustellen.

Alle paar Wochen versucht ein Benutzer oder eine Aufgabe, sich mit dem falschen Kennwort mit dem Konto zu verbinden, und das Konto wird gesperrt. Dies hat zur Folge, dass ich mich tagelang verzögert habe, um das Konto wieder freizuschalten.

Ich habe alle Leute gefragt, die wahrscheinlich miteinander zu kommunizieren scheinen, aber alle sagen, dass es nicht sie sind. Die AIX-Systemadministratoren sagen mir, dass sie nicht nachvollziehen können, wer versucht, eine Verbindung herzustellen. Es ist jemand in unserem internen Netzwerk.

Gibt es eine Möglichkeit, mit AIX zu ermitteln, wer die Verbindung versucht? Vielleicht ein Protokoll der IP-Adressen, die eine Verbindung herstellen möchten?

2
Alle Personen, die das Konto am wahrscheinlichsten sperren, bestreiten, dass sie oder ihre Programme dies tun. Ja, einer ist falsch, aber ich weiß nicht wer. Payson vor 8 Jahren 1
OK - ich habe das in die Frage eingearbeitet. David Richerby vor 8 Jahren 0

2 Antworten auf die Frage

0
A_G

Grundsätzlich sollten aus administrativer Sicht alle Apps und das DB-Team über ein eigenes Überwachungsskript verfügen, mit dem die von Einzelpersonen ausgeführten Befehle und der Zeitpunkt der Anmeldung überwacht werden können.

Ich bin selbst AIX-Administrator. Wenn dieselbe Situation bei einem App-Team mit einem gemeinsamen App-Konto auftritt, würden sie zu uns kommen und fragen, wer sie gesperrt hat. Antwort: Es gibt bei mir keine direkte Antwort, sondern eine Art vorhersagende Antwort. (Möglicherweise ist dies der Grund, warum dies immer noch unbeantwortet bleibt). Ich habe alle erfolglosen / fehlgeschlagenen Anmeldeversuche für dieses Konto überprüft, da sich die Benutzer zuerst mit ihrem eigenen Konto bei diesem Host und dann mit diesem App-Konto anmelden. Dann würde ich überprüfen, wer alle Mitglieder dieses App-Kontos sind, das an diesem Server an dieser Instanz angemeldet ist. Ich würde ihnen die Benutzer-IDs dieser Benutzer an die Person geben, die danach gefragt hat.

Anmerkung: AIX-Administratoren überprüfen normalerweise die Einträge in / var / adm / wtmp und / etc / security / failedlogin, um zu ermitteln, wer sich zu einem Server angemeldet hat, zu welcher Zeit und wer eine fehlgeschlagene Anmeldung registriert hat.

Hoffe das hilft ein bisschen.

0
chingNotCHing

Rechts in / var / adm / syslog sah das so aus

Dec 13 18:43:33 moscow auth|security:info sshd[14483679]: Failed password for myservacct from 192.168.0.12 port 59148 ssh2 Dec 13 18:43:38 moscow auth|security:info syslog: ssh: failed login attempt for myservacct from 192.168.0.12

Ein einfaches grep sammelt fehlgeschlagene Versuche, z

> tail -1000 /var/adm/syslog | grep -i failed.*myservacct

Wenn keine solchen Informationen vorhanden sind, prüfen Sie, ob in /etc/syslog.conf die Datei auth.info in Ihre Protokolldatei geschrieben wurde.

Verwandte Probleme