Salah satu tanda bahwa penyerang mungkin mencoba masuk ke sistem adalah upaya login yang gagal. File /var/log/faillog melacak upaya otentikasi yang gagal. Perintah faillog membaca file log ini /var/log/faillog, dan menunjukkan akun yang belum berhasil login sejak kegagalan terakhir.
Perintah “faillog -a” akan mencantumkan semua upaya login yang gagal, termasuk yang telah berhasil melakukan autentikasi.
Contoh Perintah faillog
1. Untuk menampilkan catatan faillog untuk semua pengguna:
# faillog -a
(Jika tidak menunjukkan file “/var/log/faillog”, buatlah)
2. Untuk mengunci akun untuk waktu yang ditentukan dalam hitungan detik setelah kegagalan login:
# faillog -l 60 mike # faillog -ul 60 mike
3. Untuk Menyetel jumlah maksimum kegagalan login:
# faillog -m 10 mike # faillog --maximum 10 mike
4. Untuk Mereset penghitung kegagalan login:
# faillog -r mike # faillog -ur mike # faillog --reset mike
5. Untuk Menampilkan catatan faillog lebih baru dari DAYS:
# faillog -t 5 mike # faillog --time DAYS mike
6. Untuk menampilkan catatan faillog atau mempertahankan penghitung dan batas kegagalan:
# faillog -u mike # faillog --user LOGIN|RANGE mike
7. Untuk mendapatkan bantuan untuk faillog:
# faillog -h # faillog --help
Log /var/log/faillog
File log ini berisi login pengguna yang gagal. Ini bisa menjadi sangat penting ketika melacak upaya untuk meretas ke dalam sistem. Biasanya, pengguna biasa terkadang mengalami satu atau dua upaya login yang gagal. Banyak upaya login yang gagal, atau bahkan upaya login yang sering gagal yang terjadi pada waktu yang berbeda-beda, dapat menjadi indikator seseorang mencoba mengkompromikan akses ke sistem. Perlu juga dicatat waktu upaya login yang gagal. Jika seorang karyawan biasanya bekerja dari pukul 8:00 hingga 17:00, dan ada upaya login yang gagal pada pukul 23:00, itu mungkin merupakan tanda peringatan.
Bagaimana cara menggunakan faillog untuk melacak upaya login yang gagal?
1. Buka file /etc/pam.d/system-auth untuk diedit.
Tambahkan baris berikut:
auth required pam_tally.so no_magic_root account required pam_tally.so deny=2 no_magic_root
2. Simpan file dan keluar.
3. Uji konfigurasi dengan mencoba masuk sebagai pengguna biasa, tetapi menggunakan kata sandi yang salah.
4. Verifikasi peningkatan hitungan yang gagal dengan menjalankan perintah:
# faillog -u [username]
Login yang gagal dicatat di /var/log/faillog dalam beberapa format biner tertentu secara default, dan utilitas faillog hanya dapat mengurai /var/log/faillog untuk mendapatkan login yang gagal. Kami tidak memiliki opsi untuk membuat faillog untuk membaca log di tempat lain.