Lukitse ja avaa epäonnistuneet SSH-kirjautumisyritykset Pam_Tally2: n avulla
pam_tally2-moduulia käytetään lukitsemaan käyttäjätilit, kun järjestelmään on tehty tietty määrä epäonnistuneita ssh-kirjautumisyrityksiä. Tämä moduuli pitää yritettyjen ja liian monien epäonnistuneiden yritysten lukumäärän.
pam_tally2-moduuli tulee kahteen osaan, toinen on pam_tally2.so ja toinen pam_tally2. Se perustuu PAM-moduuliin ja sitä voidaan käyttää laskuritiedoston tutkimiseen ja käsittelyyn. Se voi näyttää käyttäjien kirjautumisyritysten lukumäärän, asettaa laskelmat yksilöllisesti, avata kaikki käyttäjämäärät.
Oletusarvoisesti pam_tally2-moduuli on jo asennettu suurimmalle osalle Linux-jakeluista, ja sitä ohjaa itse PAM-paketti. Tässä artikkelissa kerrotaan, kuinka SSH-tilit voidaan lukita ja avata saavutettuaan tietyn epäonnistuneen kirjautumisyrityksen määrän.
Kuinka lukita ja avata käyttäjätilit
Määritä kirjautumisyritysten käyttöoikeudet määritystiedostolla ‘/etc/pam.d/password-auth’. Avaa tämä tiedosto ja lisää seuraava AUTH-määritysrivi siihen ‘auth’ -osion alkuun.
auth required pam_tally2.so file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200
Lisää seuraavaksi seuraava rivi tili-osioon.
account required pam_tally2.so
- file =/var/log/tallylog - Oletuslokitiedostoa käytetään kirjautumismäärien pitämiseen.
- estä = 3 - Estä pääsy 3 yrityksen jälkeen ja lukitse käyttäjä.
- even_deny_root - käytäntöä sovelletaan myös pääkäyttäjiin.
- unlock_time = 1200 - tili lukitaan 20 minuuttiin asti. (poista nämä parametrit, jos haluat lukita pysyvästi, kunnes lukitus avataan manuaalisesti.)
Kun olet tehnyt yllä olevan määrityksen, yritä nyt yrittää 3 epäonnistunutta kirjautumisyritystä palvelimelle millä tahansa "käyttäjänimellä". Kun olet tehnyt yli 3 yritystä, saat seuraavan viestin.
ssh [email [email 's password: Permission denied, please try again. [email 's password: Permission denied, please try again. [email 's password: Account locked due to 4 failed logins Account locked due to 5 failed logins Last login: Mon Apr 22 21:21:06 2013 from 172.16.16.52
Tarkista tai tarkista laskuri, jota käyttäjä yrittää seuraavalla komennolla.
pam_tally2 --user=tecmint Login Failures Latest failure From tecmint 5 04/22/13 21:22:37 172.16.16.52
Kuinka nollata tai avata käyttäjätili lukituksen avaamiseksi uudelleen.
pam_tally2 --user=tecmint --reset Login Failures Latest failure From tecmint 5 04/22/13 17:10:42 172.16.16.52
Tarkista sisäänkirjautumisyrityksen nollaaminen tai lukituksen avaaminen
pam_tally2 --user=tecmint Login Failures Latest failure From tecmint 0
PAM-moduuli on osa kaikkea Linux-jakelua, ja sen pitäisi toimia kaikilla Linux-jakeluilla. Tee "mies pam_tally2" komentoriviltä saadaksesi lisätietoja siitä.
Lue myös:
- 5 vinkkiä SSH-palvelimen suojaamiseen
- Estä SSH: n raa'at hyökkäykset DenyHostsin avulla