Re: Massenhaft NT_STATUS_LOGON_FAILURE im syslog

To: debian-user-german@lists.debian.org
Subject: Re: Massenhaft NT_STATUS_LOGON_FAILURE im syslog
From: Martin Steigerwald <martin@lichtvoll.de>
Date: Mon, 13 Feb 2017 16:58:18 +0100
Message-id: <[🔎] 1848278.9CcFL35tdm@merkaba>
In-reply-to: <[🔎] 20170213110816.GC14215@an3as.eu>
References: <[🔎] 20170213110816.GC14215@an3as.eu>

Hallo Andreas,

Am Montag, 13. Februar 2017, 12:08:16 CET schrieb Andreas Tille:
> ich bin über massenhafte NT_STATUS_* Meldungen in
[…]
> Ein zufälliger Ausschnitt aus kern.log sieht so aus
> 
> Feb  6 07:41:34 host01 kernel: [8380928.017182] Status code returned
> 0xc000006a NT_STATUS_WRONG_PASSWORD Feb  6 07:41:34 host01 kernel:
> [8380928.018720] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
> Feb  6 07:41:34 host01 kernel: [8380928.020659] Status code returned
> 0xc0000071 NT_STATUS_PASSWORD_EXPIRED Feb  6 07:41:34 host01 kernel:
> [8380928.021989] Status code returned 0xc0000071 NT_STATUS_PASSWORD_EXPIRED
> Feb  6 07:41:34 host01 kernel: [8380928.023680] Status code returned
> 0xc000006d NT_STATUS_LOGON_FAILURE Feb  6 07:41:34 host01 kernel:
> [8380928.027834] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
> Feb  6 07:41:34 host01 kernel: [8380928.029280] Status code returned
> 0xc000006a NT_STATUS_WRONG_PASSWORD Feb  6 07:41:34 host01 kernel:
> [8380928.030981] Status code returned 0xc000006a NT_STATUS_WRONG_PASSWORD
> Feb  6 07:41:34 host01 kernel: [8380928.032680] Status code returned
> 0xc000006d NT_STATUS_LOGON_FAILURE Feb  6 07:41:34 host01 kernel:
> [8380928.034390] Status code returned 0xc000006d NT_STATUS_LOGON_FAILURE
[…]
> Es handelt sich um ein aktuelles Debian Jessie, das ich selber nicht
> aufgesetzt habe.  Ich habe auch keine Ahnung von Samba und wohin ich
> gucken müßte, um die Ursache zu finden.  Wo sollte ich zuerst hinsehen
> um diese massenhaften Fehlermeldungen (logs wachsen auf 1.5GB an) zu
> vermeiden?

Da die Meldungen aus dem kern.log kommen vermute ich, dass das ein CIFS-Mount 
ist, der auf mit abgelaufenden Passwort und ggf. auch falschem Passwort auf 
ein Share zugreift – da bin ich nicht ganz sicher, ob sich WRONG_PASSWORD auf 
das PASSWORD_EXPIRED bezieht oder nochmal was Neues ist – und das ziemlich 
häufig. Weiß nicht, wie die CIFS-Implementation im Kernel da arbeitet. Ich 
würde ja erwartet, dass die irgendwann aufgibt, aber es sieht so aus, als sei 
das bei Dir nicht der Fall.

Ich würde also mal in der fstab nach cifs-Mount-Angaben suchen.

Evtl. zeigt auch ein Blick in die Logs unterhalb /var/log/samba des Samba-
Servers (falls ein Samba-Server das Share bereitstellt).

Ansonsten lässt sich die Ausführlichkeit des Kernel-Logs temporär und zur 
Laufzeit auch über /proc/sys/kernel/printk reduzieren.

Ciao,
-- 
Martin

Reply to:

References:
- Massenhaft NT_STATUS_LOGON_FAILURE im syslog
  - From: Andreas Tille <andreas@an3as.eu>

Prev by Date: Re: Massenhaft NT_STATUS_LOGON_FAILURE im syslog
Next by Date: Re: init script problem
Previous by thread: Re: Massenhaft NT_STATUS_LOGON_FAILURE im syslog
Next by thread: Re: init script problem
Index(es):
- Date
- Thread