Lukitse ja avaa epäonnistuneet SSH-kirjautumisyritykset Pam_Tally2: n avulla

pam_tally2-moduulia käytetään lukitsemaan käyttäjätilit, kun järjestelmään on tehty tietty määrä epäonnistuneita ssh-kirjautumisyrityksiä. Tämä moduuli pitää yritettyjen ja liian monien epäonnistuneiden yritysten lukumäärän.

pam_tally2-moduuli tulee kahteen osaan, toinen on pam_tally2.so ja toinen pam_tally2. Se perustuu PAM-moduuliin ja sitä voidaan käyttää laskuritiedoston tutkimiseen ja käsittelyyn. Se voi näyttää käyttäjien kirjautumisyritysten lukumäärän, asettaa laskelmat yksilöllisesti, avata kaikki käyttäjämäärät.

Oletusarvoisesti pam_tally2-moduuli on jo asennettu suurimmalle osalle Linux-jakeluista, ja sitä ohjaa itse PAM-paketti. Tässä artikkelissa kerrotaan, kuinka SSH-tilit voidaan lukita ja avata saavutettuaan tietyn epäonnistuneen kirjautumisyrityksen määrän.

Kuinka lukita ja avata käyttäjätilit

Määritä kirjautumisyritysten käyttöoikeudet määritystiedostolla ‘/etc/pam.d/password-auth’. Avaa tämä tiedosto ja lisää seuraava AUTH-määritysrivi siihen ‘auth’ -osion alkuun.

auth        required      pam_tally2.so  file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200

Lisää seuraavaksi seuraava rivi tili-osioon.

account     required      pam_tally2.so

  1. file =/var/log/tallylog - Oletuslokitiedostoa käytetään kirjautumismäärien pitämiseen.
  2. estä = 3 - Estä pääsy 3 yrityksen jälkeen ja lukitse käyttäjä.
  3. even_deny_root - käytäntöä sovelletaan myös pääkäyttäjiin.
  4. unlock_time = 1200 - tili lukitaan 20 minuuttiin asti. (poista nämä parametrit, jos haluat lukita pysyvästi, kunnes lukitus avataan manuaalisesti.)

Kun olet tehnyt yllä olevan määrityksen, yritä nyt yrittää 3 epäonnistunutta kirjautumisyritystä palvelimelle millä tahansa "käyttäjänimellä". Kun olet tehnyt yli 3 yritystä, saat seuraavan viestin.

 ssh [email 
[email 's password:
Permission denied, please try again.
[email 's password:
Permission denied, please try again.
[email 's password:
Account locked due to 4 failed logins
Account locked due to 5 failed logins
Last login: Mon Apr 22 21:21:06 2013 from 172.16.16.52

Tarkista tai tarkista laskuri, jota käyttäjä yrittää seuraavalla komennolla.

 pam_tally2 --user=tecmint
Login           Failures  Latest    failure     From
tecmint              5    04/22/13  21:22:37    172.16.16.52

Kuinka nollata tai avata käyttäjätili lukituksen avaamiseksi uudelleen.

 pam_tally2 --user=tecmint --reset
Login           Failures  Latest    failure     From
tecmint             5     04/22/13  17:10:42    172.16.16.52

Tarkista sisäänkirjautumisyrityksen nollaaminen tai lukituksen avaaminen

 pam_tally2 --user=tecmint
Login           Failures   Latest   failure     From
tecmint            0

PAM-moduuli on osa kaikkea Linux-jakelua, ja sen pitäisi toimia kaikilla Linux-jakeluilla. Tee "mies pam_tally2" komentoriviltä saadaksesi lisätietoja siitä.

Lue myös:

  1. 5 vinkkiä SSH-palvelimen suojaamiseen
  2. Estä SSH: n raa'at hyökkäykset DenyHostsin avulla