Käytä Pam_Tally2:ta SSH:n epäonnistuneiden kirjautumisyritysten lukitsemiseen ja avaamiseen
pam_tally2-moduulia käytetään käyttäjätilien lukitsemiseen tietyn määrän epäonnistuneiden ssh-kirjautumisyritysten jälkeen. Tämä moduuli säilyttää pääsyyritysten määrän ja liian monta epäonnistunutta yritystä.
pam_tally2-moduuli on kaksiosainen, joista toinen on pam_tally2.so ja toinen pam_tally2. Se perustuu PAM-moduuliin, ja sitä voidaan käyttää vastatiedoston tutkimiseen ja käsittelemiseen. Se voi näyttää käyttäjien kirjautumisyritysten määrät, asettaa määrät yksilöllisesti, avata kaikki käyttäjämäärät.
pam_faillock-moduuli korvaa pam_tally- ja pam_tally2-moduulit, jotka on poistettu käytöstä RHEL 7:ssä ja RHEL 8:ssa. Se tarjoaa enemmän joustavuutta ja vaihtoehtoja kuin nämä kaksi. moduulit.
Oletuksena pam_tally2-moduuli on jo asennettu useimpiin Linux-jakeluihin, ja sitä hallitsee itse PAM-paketti. Tämä artikkeli näyttää, kuinka SSH-tilit lukitaan ja lukitus avataan, kun tietty epäonnistuneiden kirjautumisyritysten määrä on saavutettu.
Käyttäjätilien lukitseminen ja lukituksen avaaminen
Käytä /etc/pam.d/password-auth-määritystiedostoa kirjautumisyritysten käyttöoikeuksien määrittämiseen. Avaa tämä tiedosto ja lisää siihen seuraava AUTH-määritysrivi auth-osion alkuun.
auth required pam_tally2.so file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200
Lisää seuraavaksi seuraava rivi tili-osioon.
account required pam_tally2.so
Parametrit
- file=/var/log/tallylog – Oletusarvoista loki-tiedostoa käytetään kirjautumisten laskemiseen.
- deny=3 – Estä pääsy 3 yrityksen jälkeen ja lukitse käyttäjä.
- even_deny_root – Käytäntö koskee myös root-käyttäjää.
- unlock_time=1200 – Tili on lukittu 20 minuuttiin. (Poista nämä parametrit, jos haluat lukita pysyvästi, kunnes lukitus avataan manuaalisesti.)
Kun olet tehnyt yllä olevat määritykset, yritä nyt 3 epäonnistunutta kirjautumisyritystä palvelimelle millä tahansa 'käyttäjänimellä'. Kun olet tehnyt yli 3 yritystä, saat seuraavan viestin.
[root@tecmint ~]# ssh [email
[email 's password:
Permission denied, please try again.
[email 's password:
Permission denied, please try again.
[email 's password:
Account locked due to 4 failed logins
Account locked due to 5 failed logins
Last login: Mon Apr 22 21:21:06 2013 from 172.16.16.52
Tarkista tai tarkista nyt laskuri, jota käyttäjä yrittää seuraavalla komennolla.
[root@tecmint ~]# pam_tally2 --user=tecmint
Login Failures Latest failure From
tecmint 5 04/22/13 21:22:37 172.16.16.52
Käyttäjätilin nollaus tai lukituksen avaaminen, jotta käyttö voidaan ottaa uudelleen käyttöön.
[root@tecmint pam.d]# pam_tally2 --user=tecmint --reset
Login Failures Latest failure From
tecmint 5 04/22/13 17:10:42 172.16.16.52
Varmista, että kirjautumisyritys nollataan tai lukitus on avattu
[root@tecmint pam.d]# pam_tally2 --user=tecmint
Login Failures Latest failure From
tecmint 0
PAM-moduuli on osa kaikkea Linux-jakelua, ja sen sisältämien asetusten pitäisi toimia kaikissa Linux-jakeluissa. Tee komentoriviltä 'man pam_tally2' saadaksesi lisätietoja siitä.
Lue myös:
- 5 vinkkiä SSH-palvelimen suojaamiseen
- Estä SSH Brute Force -hyökkäykset käyttämällä DenyHosteja