Norėdami užrakinti ir atrakinti nesėkmingus SSH prisijungimo bandymus, naudokite Pam_Tally2

Modulis pam_tally2 naudojamas vartotojų paskyroms užrakinti po tam tikro skaičiaus nesėkmingų ssh bandymų prisijungti prie sistemos. Šis modulis išlaiko bandymų prisijungti ir per daug nesėkmingų bandymų skaičių.

Modulis pam_tally2 yra sudarytas iš dviejų dalių: viena yra pam_tally2.so, kita - pam_tally2. Jis pagrįstas PAM moduliu ir gali būti naudojamas skaitiklio rinkmenai ištirti ir valdyti. Jis gali rodyti vartotojų prisijungimo bandymų skaičių, nustatyti individualų skaičių, atrakinti visus vartotojų skaičius.

Modulis pam_faillock pakeičia modulius pam_tally ir pam_tally2, kurie buvo nebenaudojami 7 ir RHEL 8 versijose. Jis siūlo daugiau lankstumo ir galimybių nei du moduliai.

Pagal numatytuosius nustatymus modulis pam_tally2 jau yra įdiegtas daugumoje „Linux“ platinimų ir jį valdo pats PAM paketas. Šiame straipsnyje parodyta, kaip užrakinti ir atrakinti SSH paskyras pasiekus tam tikrą nesėkmingą prisijungimo bandymų skaičių.

Kaip užrakinti ir atrakinti vartotojų paskyras

Norėdami sukonfigūruoti prisijungimo bandymus, naudokite konfigūracijos failą /etc/pam.d/password-auth. Atidarykite šį failą ir skilties „auth“ pradžioje pridėkite prie jo šią AUTH konfigūracijos eilutę.

auth        required      pam_tally2.so  file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200

Tada į skiltį „paskyra“ pridėkite šią eilutę.

account     required      pam_tally2.so
Parametrai
  1. file=/var/log/tallylog – numatytasis log failas naudojamas prisijungimų skaičiui palaikyti.
  2. deny=3 – uždrausti prieigą po 3 bandymų ir užrakinti naudotoją.
  3. even_deny_root – politika taip pat taikoma root naudotojui.
  4. unlock_time=1200 – paskyra bus užrakinta iki 20 min.. (Pašalinkite šį parametrą, jei norite visam laikui užrakinti, kol neatrakinsite rankiniu būdu.)

Atlikę aukščiau nurodytą konfigūraciją, pabandykite 3 nesėkmingus bandymus prisijungti prie serverio naudodami bet kurį „naudotojo vardą“. Pabandę daugiau nei 3, gausite šį pranešimą.

[root@tecmint ~]# ssh [email 
[email 's password:
Permission denied, please try again.
[email 's password:
Permission denied, please try again.
[email 's password:
Account locked due to 4 failed logins
Account locked due to 5 failed logins
Last login: Mon Apr 22 21:21:06 2013 from 172.16.16.52

Dabar patikrinkite arba patikrinkite skaitiklį, kurį vartotojas bando su šia komanda.

[root@tecmint ~]# pam_tally2 --user=tecmint
Login           Failures  Latest    failure     From
tecmint              5    04/22/13  21:22:37    172.16.16.52

Kaip iš naujo nustatyti arba atrakinti vartotojo abonementą, kad vėl įgalintumėte prieigą.

[root@tecmint pam.d]# pam_tally2 --user=tecmint --reset
Login           Failures  Latest    failure     From
tecmint             5     04/22/13  17:10:42    172.16.16.52

Patikrinkite, ar bandymas prisijungti buvo nustatytas iš naujo arba atrakintas

[root@tecmint pam.d]# pam_tally2 --user=tecmint
Login           Failures   Latest   failure     From
tecmint            0

Modulis PAM yra viso Linux platinimo dalis, o pateikta konfigūracija turėtų veikti visame Linux platinime. Norėdami sužinoti daugiau apie tai, komandinėje eilutėje atlikite „man pam_tally2“.

Taip pat skaitykite:

  1. 5 patarimai, kaip apsaugoti ir apsaugoti SSH serverį
  2. Blokuokite SSH Brute Force atakas naudodami „DenyHosts“.