Brug Pam_Tally2 til at låse og låse SSH mislykkede loginforsøg op
pam_tally2-modulet bruges til at låse brugerkonti efter et vist antal mislykkede ssh-loginforsøg på systemet. Dette modul holder antallet af forsøgte adgang og for mange mislykkede forsøg.
pam_tally2-modulet findes i to dele, den ene er pam_tally2.so og en anden er pam_tally2. Det er baseret på PAM-modul og kan bruges til at undersøge og manipulere tællerfilen. Det kan vise antal brugerindlogningsforsøg, indstille antal på individuel basis, låse op for alle brugeroptællinger.
Som standard er pam_tally2-modulet allerede installeret på de fleste Linux-distributioner, og det styres af selve PAM-pakken. Denne artikel demonstrerer, hvordan man låser og låser op for SSH-konti efter at have nået et bestemt mislykket antal loginforsøg.
Sådan låses og låses brugerkonti op
Brug '/etc/pam.d/password-auth' konfigurationsfil til at konfigurere adgang til loginforsøg. Åbn denne fil, og tilføj følgende AUTH-konfigurationslinje til den i begyndelsen af afsnittet 'auth'.
auth required pam_tally2.so file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200
Føj derefter følgende linje til afsnittet 'konto'.
account required pam_tally2.so
- file =/var/log/tallylog - Standardlogfil bruges til at opretholde antallet af login.
- nægt = 3 - Nægt adgang efter 3 forsøg og lås brugeren ned.
- even_deny_root - Politik gælder også for root-brugere.
- unlock_time = 1200 - Kontoen låses indtil 20 minutter. (fjern disse parametre, hvis du vil låse permanent indtil manuel oplåsning.)
Når du er færdig med ovenstående konfiguration, skal du prøve at forsøge 3 mislykkede loginforsøg på serveren ved hjælp af et hvilket som helst 'brugernavn'. Når du har foretaget mere end 3 forsøg, får du følgende meddelelse.
ssh [email 25.126 [email 's password: Permission denied, please try again. [email 's password: Permission denied, please try again. [email 's password: Account locked due to 4 failed logins Account locked due to 5 failed logins Last login: Mon Apr 22 21:21:06 2013 from 172.16.16.52
Bekræft eller kontroller nu den tæller, som brugeren forsøger med følgende kommando.
pam_tally2 --user=tecmint Login Failures Latest failure From tecmint 5 04/22/13 21:22:37 172.16.16.52
Sådan nulstilles eller låses brugerkontoen op for at aktivere adgang igen.
pam_tally2 --user=tecmint --reset Login Failures Latest failure From tecmint 5 04/22/13 17:10:42 172.16.16.52
Bekræft loginforsøg er nulstillet eller låst op
pam_tally2 --user=tecmint Login Failures Latest failure From tecmint 0
PAM-modulet er en del af al Linux-distribution, og konfiguration, der findes, skal fungere på al Linux-distribution. Gør 'man pam_tally2' fra kommandolinjen for at vide mere om det.
Læs også:
- 5 tip til sikring og beskyttelse af SSH-server
- Bloker SSH Brute Force-angreb ved hjælp af DenyHosts