Brug Pam_Tally2 til at låse og låse SSH mislykkede loginforsøg op


pam_tally2-modulet bruges til at låse brugerkonti efter et vist antal mislykkede ssh-loginforsøg på systemet. Dette modul holder antallet af forsøgte adgang og for mange mislykkede forsøg.

pam_tally2-modulet findes i to dele, den ene er pam_tally2.so og en anden er pam_tally2. Det er baseret på PAM-modul og kan bruges til at undersøge og manipulere tællerfilen. Det kan vise antal brugerindlogningsforsøg, indstille antal på individuel basis, låse op for alle brugeroptællinger.

Som standard er pam_tally2-modulet allerede installeret på de fleste Linux-distributioner, og det styres af selve PAM-pakken. Denne artikel demonstrerer, hvordan man låser og låser op for SSH-konti efter at have nået et bestemt mislykket antal loginforsøg.

Sådan låses og låses brugerkonti op

Brug '/etc/pam.d/password-auth' konfigurationsfil til at konfigurere adgang til loginforsøg. Åbn denne fil, og tilføj følgende AUTH-konfigurationslinje til den i begyndelsen af afsnittet 'auth'.

auth        required      pam_tally2.so  file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200

Føj derefter følgende linje til afsnittet 'konto'.

account     required      pam_tally2.so

  1. file =/var/log/tallylog - Standardlogfil bruges til at opretholde antallet af login.
  2. nægt = 3 - Nægt adgang efter 3 forsøg og lås brugeren ned.
  3. even_deny_root - Politik gælder også for root-brugere.
  4. unlock_time = 1200 - Kontoen låses indtil 20 minutter. (fjern disse parametre, hvis du vil låse permanent indtil manuel oplåsning.)

Når du er færdig med ovenstående konfiguration, skal du prøve at forsøge 3 mislykkede loginforsøg på serveren ved hjælp af et hvilket som helst 'brugernavn'. Når du har foretaget mere end 3 forsøg, får du følgende meddelelse.

 ssh [email 25.126
[email 's password:
Permission denied, please try again.
[email 's password:
Permission denied, please try again.
[email 's password:
Account locked due to 4 failed logins
Account locked due to 5 failed logins
Last login: Mon Apr 22 21:21:06 2013 from 172.16.16.52

Bekræft eller kontroller nu den tæller, som brugeren forsøger med følgende kommando.

 pam_tally2 --user=tecmint
Login           Failures  Latest    failure     From
tecmint              5    04/22/13  21:22:37    172.16.16.52

Sådan nulstilles eller låses brugerkontoen op for at aktivere adgang igen.

 pam_tally2 --user=tecmint --reset
Login           Failures  Latest    failure     From
tecmint             5     04/22/13  17:10:42    172.16.16.52

Bekræft loginforsøg er nulstillet eller låst op

 pam_tally2 --user=tecmint
Login           Failures   Latest   failure     From
tecmint            0

PAM-modulet er en del af al Linux-distribution, og konfiguration, der findes, skal fungere på al Linux-distribution. Gør 'man pam_tally2' fra kommandolinjen for at vide mere om det.

Læs også:

  1. 5 tip til sikring og beskyttelse af SSH-server
  2. Bloker SSH Brute Force-angreb ved hjælp af DenyHosts