|
|
lfs5.0的系统,由于一直使用远程SSH登陆,最近准备本地终端登陆时出现在一个非常怪异的问题。
使用本地终端无法使用root直接登陆,非得先使用普通帐号登陆然后su后才可以,但是使用ssh远程登陆就没有问题。
下面是从/var/log/auth.log中摘出的纪录:
Dec 14 17:12:24 jerry login[115]: ILLEGAL ROOT LOGIN on `tty2'
Dec 14 17:13:50 jerry login[148]: ILLEGAL ROOT LOGIN on `tty2'
Dec 14 17:14:11 jerry login[117]: ILLEGAL ROOT LOGIN on `tty4'
Dec 14 17:15:55 jerry login[168]: ILLEGAL ROOT LOGIN on `tty2'
Dec 14 17:18:07 jerry login[208]: ILLEGAL ROOT LOGIN on `tty2'
Dec 14 17:18:13 jerry login[208]: ILLEGAL ROOT LOGIN on `tty2'
Dec 14 17:18:27 jerry login[234]: ILLEGAL ROOT LOGIN on `tty1'
//本地终端root无法登陆
Dec 15 20:01:01 jerry su[216]: + ttyp0 jerry-root
Dec 15 20:07:00 jerry su[263]: + ttyp1 jerry-root
//普通用户本地登陆然后su到root没问题
Dec 15 20:27:26 jerry sshd[405]: Accepted password for root from x.x.x.x port 10637 ssh2
//远程直接登陆root没问题
在用root本地终端登陆时同时用另外一个用户查看进程,发现其login进程已经启动,但是不久就退出,没有启动SHELL。
本人考虑的可能原因如下:
1.曾经编辑过PAM的配置文件,但是现在已经恢复lfs初始安装时的策略,但故障没有解决。
2.由于提供FTP+HTTP服务,HTTP日志有攻击的纪录,但是日志同时显示非法请求全部拒绝。虽然怀疑有恶意入侵修改了系统配置文件,但是查看远程登陆IP都是信任的IP,且auth.log中虽然有非法登陆的尝试的纪录但似乎都没有成功,且修改什么文件会拒绝root本地直接登陆?
请不吝赐教。谢谢! |
|
IP卡
狗仔卡
发表于 2004-12-15 20:34:50
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主