Bruk Pam_Tally2 til å låse og låse opp SSH mislykkede påloggingsforsøk

pam_tally2-modulen brukes til å låse brukerkontoer etter et visst antall mislykkede ssh-påloggingsforsøk gjort til systemet. Denne modulen holder tellingen av forsøk på tilgang og for mange mislykkede forsøk.

pam_tally2-modulen kommer i to deler, en er pam_tally2.so og en annen er pam_tally2. Den er basert på PAM-modulen og kan brukes til å undersøke og manipulere motfilen. Den kan vise antall brukerpåloggingsforsøk, angi antall på individuell basis, låse opp alle brukertellinger.

pam_faillock-modulen erstatter modulene pam_tally og pam_tally2 som har blitt avviklet i RHEL 7 og RHEL 8. Den tilbyr mer fleksibilitet og alternativer enn de to moduler.

Som standard er pam_tally2-modulen allerede installert på de fleste Linux-distribusjoner, og den kontrolleres av selve PAM-pakken. Denne artikkelen viser hvordan du låser og låser opp SSH-kontoer etter å ha nådd et visst mislykket antall påloggingsforsøk.

Hvordan låse og låse opp brukerkontoer

Bruk konfigurasjonsfilen «/etc/pam.d/password-auth» for å konfigurere tilganger til påloggingsforsøk. Åpne denne filen og legg til følgende AUTH-konfigurasjonslinje til den i begynnelsen av «author»-delen.

auth        required      pam_tally2.so  file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200

Deretter legger du til følgende linje i «konto»-delen.

account     required      pam_tally2.so
Parametere
  1. file=/var/log/tallylog – Standard logg-fil brukes til å holde påloggingstallene.
  2. deny=3 – nekt tilgang etter 3 forsøk og lås brukeren.
  3. even_deny_root – Retningslinjer gjelder også for root-brukere.
  4. unlock_time=1200 – Kontoen vil være låst til 20 min. (fjern disse parameterne hvis du vil låse ned permanent til manuelt opplåsing.)

Når du har fullført konfigurasjonen ovenfor, prøv nå å forsøke 3 mislykkede påloggingsforsøk til serveren med et «brukernavn». Etter at du har gjort mer enn 3 forsøk, får du følgende melding.

[root@tecmint ~]# ssh [email 
[email 's password:
Permission denied, please try again.
[email 's password:
Permission denied, please try again.
[email 's password:
Account locked due to 4 failed logins
Account locked due to 5 failed logins
Last login: Mon Apr 22 21:21:06 2013 from 172.16.16.52

Bekreft eller sjekk telleren som brukeren forsøker med følgende kommando.

[root@tecmint ~]# pam_tally2 --user=tecmint
Login           Failures  Latest    failure     From
tecmint              5    04/22/13  21:22:37    172.16.16.52

Hvordan tilbakestille eller låse opp brukerkontoen for å aktivere tilgang igjen.

[root@tecmint pam.d]# pam_tally2 --user=tecmint --reset
Login           Failures  Latest    failure     From
tecmint             5     04/22/13  17:10:42    172.16.16.52

Bekreft påloggingsforsøket er tilbakestilt eller låst opp

[root@tecmint pam.d]# pam_tally2 --user=tecmint
Login           Failures   Latest   failure     From
tecmint            0

PAM-modulen er en del av all Linux-distribusjon og konfigurasjon som er gitt om bør fungere på all Linux-distribusjon. Gjør «man pam_tally2» fra kommandolinjen for å vite mer om det.

Les også:

  1. 5 tips for å sikre og beskytte SSH-serveren
  2. Blokker SSH Brute Force-angrep ved å bruke DenyHosts