In einer sicheren Umgebung ist es häufig erforderlich, Benutzer zu sperren, nachdem sie eine bestimmte Anzahl von Malen ein falsches Kennwort eingegeben haben. Dadurch schützt das System vor Angriffen wie Kennwortwörterbuchangriffen. Der Beitrag beschreibt, wie man ein Konto nach N falschen Anmeldeversuchen mit pam.d-Dateien sperrt .
Benutzer nach N falschen Anmeldungen sperren
1. Erstellen Sie zunächst eine Sicherungskopie der Datei /etc/pam.d/password-auth und /etc/pam.d/system-auth . Fügen Sie dann die folgenden Zeilen zur Datei hinzu.
auth required pam_tally2.so file=/var/log/tallylog deny=N even_deny_root unlock_time=1200 account required pam_tally2.so
Hier
file=/var/log/tallylog – Fehlgeschlagene Anmeldeversuche werden hier protokolliert.
verweigern – ermöglicht es uns, den Wert N (Anzahl der Versuche) festzulegen, nach dem das Benutzerkonto gesperrt werden soll.
even_deny_root – stellt sicher, dass die gleiche Regel auch für Root-Benutzer gilt. Um Root-Benutzer von dieser Richtlinie auszuschließen, entfernen Sie einfach den Parameter aus der Zeile. [Optional]
unlock_time – ist die Zeit, für die das Konto gesperrt bleiben soll [Optional]
Das Beispiel /etc/pam.d/system-auth sieht wie folgt aus:
# cat /etc/pam.d/system-auth #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth sufficient pam_fprintd.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth required pam_deny.so account required pam_unix.so account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 1000 quiet account required pam_permit.so password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so -session optional pam_systemd.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so
2. Bearbeiten Sie die Datei /etc/ssh/sshd_config um die MaxAuthTries zu erhöhen Wert auf einen höheren Wert als die obige Zahl.
# vi /etc/ssh/sshd_config MaxAuthTries 10
3. Speichern Sie die Datei, nachdem Sie die ChallengeResponseAuthentication-Nr überprüft haben ist bereits in der Datei gesetzt.
# vi /etc/ssh/sshd_config ChallengeResponseAuthentication no
4. Starten Sie den sshd-Dienst neu.
# service sshd restart
Sperre zurücksetzen
1. Fehlerprotokoll Der Befehl meldet die Anzahl der fehlgeschlagenen Anmeldeversuche für einen bestimmten Benutzer:
# faillog -u [username]
2. Wenn pam_tally2.so verwendet wird, kann der Befehl pam_tally2 verwendet werden, um die Anzahl der fehlgeschlagenen Anmeldeversuche für einen bestimmten Benutzer zu überprüfen:
# pam_tally2 -u [username]
3. Um die Sperre für einen Benutzer zurückzusetzen, pam_tally2 Befehl verwendet werden:
# pam_tally2 --user=[username] --reset