Hi,<br><br>Thank you very much.<br><br><div class="gmail_quote">On Mon, Jul 19, 2010 at 5:07 PM, Steve Grubb <span dir="ltr"><<a href="mailto:sgrubb@redhat.com">sgrubb@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<div class="im">On Monday, July 19, 2010 09:33:11 am List Quest wrote:<br>
> - Trying FTP Connect:<br>
><br>
> Following lines writing to audit.log<br>
> type=USER_AUTH ...<br>
> type=USER_ACCT ...<br>
> (NO USER_LOGIN LINE?)<br>
><br>
> Wyh this?<br>
<br>
</div>No one patched the ftp deamon to send it. The USER_LOGIN event is sent by the<br>
daemon after authentication/authorization completes. This is to distinguish<br>
actual sessions from the pam events you noted which may not actually be<br>
associated with a login (e.g. - crond). Sshd, gdm, kdm, xdm, and login have<br>
all been patched to do this. I'm not entirely sure we considered ftp to be a<br>
shell giving free access to the system and that would be the most likely<br>
reason its not been patched.<br>
<font color="#888888"><br>
-Steve<br>
</font></blockquote></div><br>