Utilitzeu Pam_Tally2 per bloquejar i desbloquejar els intents d'inici de sessió fallits de SSH
El mòdul pam_tally2 s'utilitza per bloquejar els comptes d'usuari després d'un cert nombre d'intents fallits d'inici de sessió ssh al sistema. Aquest mòdul manté el recompte d'intents d'accés i massa intents fallits.
El mòdul pam_tally2 consta de dues parts, una és pam_tally2.so i una altra és pam_tally2. Es basa en el mòdul PAM i es pot utilitzar per examinar i manipular el fitxer comptador. Pot mostrar els recomptes d'intents d'inici de sessió d'usuaris, establir recomptes de manera individual i desbloquejar tots els recomptes d'usuaris.
Per defecte, el mòdul pam_tally2 ja està instal·lat a la majoria de distribucions de Linux i està controlat pel propi paquet PAM. Aquest article mostra com bloquejar i desbloquejar comptes SSH després d'arribar a un nombre determinat d'intents d'inici de sessió fallits.
Com bloquejar i desbloquejar comptes d'usuari
Utilitzeu el fitxer de configuració /etc/pam.d/password-auth per configurar els accessos als intents d'inici de sessió. Obriu aquest fitxer i afegiu-hi la següent línia de configuració AUTH al començament de la secció auth.
auth required pam_tally2.so file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200
A continuació, afegiu la línia següent a la secció compte.
account required pam_tally2.so
- file=/var/log/tallylog: el fitxer de registre predeterminat s'utilitza per mantenir el recompte d'inicis de sessió.
- deny=3: denegueu l'accés després de 3 intents i bloquegeu l'usuari.
- even_deny_root: la política també s'aplica a l'usuari root.
- unlock_time=1200: el compte es bloquejarà fins als 20 min. (Elimineu aquests paràmetres si voleu bloquejar permanentment fins que es desbloquegi manualment.)
Un cop hàgiu acabat amb la configuració anterior, ara intenteu provar 3 intents fallits d'inici de sessió al servidor amb qualsevol nom d'usuari. Després de fer més de 3 intents, rebràs el missatge següent.
ssh [email [email 's password: Permission denied, please try again. [email 's password: Permission denied, please try again. [email 's password: Account locked due to 4 failed logins Account locked due to 5 failed logins Last login: Mon Apr 22 21:21:06 2013 from 172.16.16.52
Ara, verifiqueu o comproveu el comptador que l'usuari intenta amb l'ordre següent.
pam_tally2 --user=tecmint Login Failures Latest failure From tecmint 5 04/22/13 21:22:37 172.16.16.52
Com restablir o desbloquejar el compte d'usuari per tornar a habilitar l'accés.
pam_tally2 --user=tecmint --reset Login Failures Latest failure From tecmint 5 04/22/13 17:10:42 172.16.16.52
Verifiqueu que l'intent d'inici de sessió estigui restablert o desbloquejat
pam_tally2 --user=tecmint Login Failures Latest failure From tecmint 0
El mòdul PAM forma part de tota la distribució de Linux i la configuració proporcionada hauria de funcionar a totes les distribucions de Linux. Feu man pam_tally2 des de la línia d'ordres per saber-ne més.
Llegeix també:
- 5 consells per protegir i protegir el servidor SSH
- Bloqueja els atacs de força bruta SSH amb DenyHosts