rsh失敗履歴の取得について
概要　00079BD4【rsh失敗履歴の取得について】<< >> 2007/05/11 10:26:46

内容/目次<<< QUESTION >>> 2007/05/11 10:26:46

【システム環境】
p570
AIX5.3 ML5

【内容】
リモートからのrshの成功・失敗履歴をログに記録し、監視できるようにしたいと考えています。

成功履歴は/var/adm/wtmp,失敗履歴は/etc/security/failedloginに記録されると思っていたのですが、実機でテストすると、
成功履歴は予想通り/var/adm/wtmpに書き込まれているのに対し、失敗履歴は/etc/security/failedloginには残りませんでした。
その代わりにsyslogに

rshd[78468]: Failed rsh authentication from tshn1gs1 for local user testuser01 via remote user root

というログが出力されます。

ログインの成功・失敗履歴はそれぞれ上記のファイルに残ります。
一方rshの場合は成功履歴がwtmpに残るのに対し、失敗履歴がfailedloginに残らないのはなぜでしょうか。

また失敗履歴の監視は/etc/security/failedloginで行いたいのですが、このファイルにログを出力させる方法はありますでしょうか。

因みにテスト方法は、.rhostsに登録していないユーザー名（testuser01)を使ってリモートホストからrshを実行するという方法で行いました。<<< ANSWER >>> 2007/05/15 10:58:58
テスト方法は、コマンドパラメータを指定してrshを実行した、と言うことでよろしいでしょうか？（rsh host1 -l user1 date など)
その場合は以下の回答になります。

wtmpファイルにはアカウンティング情報が記録されますが、failedloginファイルはログイン失敗情報が記録されます。
rshは、コマンドパラメータを指定しない場合はリモートホストにログインしますが、指定した場合はログインは行われませんので、failedloginには記録されません。

残念ながら、ログインしない場合のアクセス失敗を failedloginファイルに出力させる方法はございません。
もしご質問者の環境で失敗文字列が特定できるのであれば、自作プログラムよりsyslogなどの失敗文字列を読み込んで、loginfailedサブルーチンにて、/etc/security/failedloginファイルに書きこむことはできます。

ご参考：
utmp,wtmp,failedloginファイルリファレンス
http://publib.boulder.ibm.com/infocenter/pseries/v5r3/topic/com.ibm.aix.files/doc/aixfiles/utmp.htm?resultof=%22%66%61%69%6c%65%64%6c%6f%67%69%6e%22%20
rshコマンドリファレンス
http://publib.boulder.ibm.com/infocenter/pseries/v5r3/topic/com.ibm.aix.cmds/doc/aixcmds4/rsh.htm?resultof=%22%72%73%68%22%20
loginfailedサブルーチン
http://publib.boulder.ibm.com/infocenter/pseries/v5r3/topic/com.ibm.aix.basetechref/doc/basetrf1/loginfailed.htm?resultof=%22%66%61%69%6c%65%64%6c%6f%67%69%6e%22%20

もし、コマンドパラメータを指定しないでrshを実行しても、failedloginファイルに記録されないのであれば、ソフトウエア障害の可能性があります。

−−−−−−−−−−−−−−−
IBM　FAQ　
http://www-01.ibm.com/support/docview.wss?uid=std3c362935e5fc78436492572ea0002bb65