Käytä Pam_Tally2:ta SSH:n epäonnistuneiden kirjautumisyritysten lukitsemiseen ja avaamiseen

pam_tally2-moduulia käytetään käyttäjätilien lukitsemiseen tietyn määrän epäonnistuneiden ssh-kirjautumisyritysten jälkeen. Tämä moduuli säilyttää pääsyyritysten määrän ja liian monta epäonnistunutta yritystä.

pam_tally2-moduuli on kaksiosainen, joista toinen on pam_tally2.so ja toinen pam_tally2. Se perustuu PAM-moduuliin, ja sitä voidaan käyttää vastatiedoston tutkimiseen ja käsittelemiseen. Se voi näyttää käyttäjien kirjautumisyritysten määrät, asettaa määrät yksilöllisesti, avata kaikki käyttäjämäärät.

pam_faillock-moduuli korvaa pam_tally- ja pam_tally2-moduulit, jotka on poistettu käytöstä RHEL 7:ssä ja RHEL 8:ssa. Se tarjoaa enemmän joustavuutta ja vaihtoehtoja kuin nämä kaksi. moduulit.

Oletuksena pam_tally2-moduuli on jo asennettu useimpiin Linux-jakeluihin, ja sitä hallitsee itse PAM-paketti. Tämä artikkeli näyttää, kuinka SSH-tilit lukitaan ja lukitus avataan, kun tietty epäonnistuneiden kirjautumisyritysten määrä on saavutettu.

Käyttäjätilien lukitseminen ja lukituksen avaaminen

Käytä /etc/pam.d/password-auth-määritystiedostoa kirjautumisyritysten käyttöoikeuksien määrittämiseen. Avaa tämä tiedosto ja lisää siihen seuraava AUTH-määritysrivi auth-osion alkuun.

auth        required      pam_tally2.so  file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200

Lisää seuraavaksi seuraava rivi tili-osioon.

account     required      pam_tally2.so
Parametrit
  1. file=/var/log/tallylog – Oletusarvoista loki-tiedostoa käytetään kirjautumisten laskemiseen.
  2. deny=3 – Estä pääsy 3 yrityksen jälkeen ja lukitse käyttäjä.
  3. even_deny_root – Käytäntö koskee myös root-käyttäjää.
  4. unlock_time=1200 – Tili on lukittu 20 minuuttiin. (Poista nämä parametrit, jos haluat lukita pysyvästi, kunnes lukitus avataan manuaalisesti.)

Kun olet tehnyt yllä olevat määritykset, yritä nyt 3 epäonnistunutta kirjautumisyritystä palvelimelle millä tahansa 'käyttäjänimellä'. Kun olet tehnyt yli 3 yritystä, saat seuraavan viestin.

[root@tecmint ~]# ssh [email 
[email 's password:
Permission denied, please try again.
[email 's password:
Permission denied, please try again.
[email 's password:
Account locked due to 4 failed logins
Account locked due to 5 failed logins
Last login: Mon Apr 22 21:21:06 2013 from 172.16.16.52

Tarkista tai tarkista nyt laskuri, jota käyttäjä yrittää seuraavalla komennolla.

[root@tecmint ~]# pam_tally2 --user=tecmint
Login           Failures  Latest    failure     From
tecmint              5    04/22/13  21:22:37    172.16.16.52

Käyttäjätilin nollaus tai lukituksen avaaminen, jotta käyttö voidaan ottaa uudelleen käyttöön.

[root@tecmint pam.d]# pam_tally2 --user=tecmint --reset
Login           Failures  Latest    failure     From
tecmint             5     04/22/13  17:10:42    172.16.16.52

Varmista, että kirjautumisyritys nollataan tai lukitus on avattu

[root@tecmint pam.d]# pam_tally2 --user=tecmint
Login           Failures   Latest   failure     From
tecmint            0

PAM-moduuli on osa kaikkea Linux-jakelua, ja sen sisältämien asetusten pitäisi toimia kaikissa Linux-jakeluissa. Tee komentoriviltä 'man pam_tally2' saadaksesi lisätietoja siitä.

Lue myös:

  1. 5 vinkkiä SSH-palvelimen suojaamiseen
  2. Estä SSH Brute Force -hyökkäykset käyttämällä DenyHosteja