Utilitzeu Pam_Tally2 per bloquejar i desbloquejar els intents d'inici de sessió fallits de SSH

El mòdul pam_tally2 s'utilitza per bloquejar els comptes d'usuari després d'un cert nombre d'intents fallits d'inici de sessió ssh al sistema. Aquest mòdul manté el recompte d'intents d'accés i massa intents fallits.

El mòdul pam_tally2 consta de dues parts, una és pam_tally2.so i una altra és pam_tally2. Es basa en el mòdul PAM i es pot utilitzar per examinar i manipular el fitxer comptador. Pot mostrar els recomptes d'intents d'inici de sessió d'usuaris, establir recomptes de manera individual i desbloquejar tots els recomptes d'usuaris.

Per defecte, el mòdul pam_tally2 ja està instal·lat a la majoria de distribucions de Linux i està controlat pel propi paquet PAM. Aquest article mostra com bloquejar i desbloquejar comptes SSH després d'arribar a un nombre determinat d'intents d'inici de sessió fallits.

Com bloquejar i desbloquejar comptes d'usuari

Utilitzeu el fitxer de configuració /etc/pam.d/password-auth per configurar els accessos als intents d'inici de sessió. Obriu aquest fitxer i afegiu-hi la següent línia de configuració AUTH al començament de la secció auth.

auth        required      pam_tally2.so  file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200

A continuació, afegiu la línia següent a la secció compte.

account     required      pam_tally2.so

  1. file=/var/log/tallylog: el fitxer de registre predeterminat s'utilitza per mantenir el recompte d'inicis de sessió.
  2. deny=3: denegueu l'accés després de 3 intents i bloquegeu l'usuari.
  3. even_deny_root: la política també s'aplica a l'usuari root.
  4. unlock_time=1200: el compte es bloquejarà fins als 20 min. (Elimineu aquests paràmetres si voleu bloquejar permanentment fins que es desbloquegi manualment.)

Un cop hàgiu acabat amb la configuració anterior, ara intenteu provar 3 intents fallits d'inici de sessió al servidor amb qualsevol nom d'usuari. Després de fer més de 3 intents, rebràs el missatge següent.

 ssh [email 
[email 's password:
Permission denied, please try again.
[email 's password:
Permission denied, please try again.
[email 's password:
Account locked due to 4 failed logins
Account locked due to 5 failed logins
Last login: Mon Apr 22 21:21:06 2013 from 172.16.16.52

Ara, verifiqueu o comproveu el comptador que l'usuari intenta amb l'ordre següent.

 pam_tally2 --user=tecmint
Login           Failures  Latest    failure     From
tecmint              5    04/22/13  21:22:37    172.16.16.52

Com restablir o desbloquejar el compte d'usuari per tornar a habilitar l'accés.

 pam_tally2 --user=tecmint --reset
Login           Failures  Latest    failure     From
tecmint             5     04/22/13  17:10:42    172.16.16.52

Verifiqueu que l'intent d'inici de sessió estigui restablert o desbloquejat

 pam_tally2 --user=tecmint
Login           Failures   Latest   failure     From
tecmint            0

El mòdul PAM forma part de tota la distribució de Linux i la configuració proporcionada hauria de funcionar a totes les distribucions de Linux. Feu man pam_tally2 des de la línia d'ordres per saber-ne més.

Llegeix també:

  1. 5 consells per protegir i protegir el servidor SSH
  2. Bloqueja els atacs de força bruta SSH amb DenyHosts