Kif Tissakkar il-Kontijiet tal-Utenti Wara Attentati ta' Login falluti

Din il-gwida se turi kif tissakkar kont ta 'utent tas-sistema wara numru speċifikat ta' tentattivi ta 'login falluti fid-distribuzzjonijiet CentOS, RHEL u Fedora. Hawnhekk, l-enfasi hija li tinforza s-sigurtà sempliċi tas-server billi tissakkar kont ta 'utent wara numru konsekuttiv ta' awtentikazzjoni mingħajr suċċess.

Dan jista' jinkiseb bl-użu tal-modulu pam_faillock li jgħin biex jissakkar temporanjament il-kontijiet tal-utent f'każ ta' tentattivi multipli ta' awtentikazzjoni falluti u jżomm rekord ta' dan l-avveniment. Tentattivi ta' login falluti huma maħżuna f'fajls għal kull utent fid-direttorju tat-tally li huwa /var/run/faillock/ b'mod awtomatiku.

pam_faillock huwa parti minn Linux PAM (Pluggable Authentication Modules), mekkaniżmu dinamiku għall-implimentazzjoni ta 'servizzi ta' awtentikazzjoni f'applikazzjonijiet u diversi servizzi tas-sistema li spjegajna fil-qosor taħt il-konfigurazzjoni tal-PAM biex tivverifika l-attività tal-shell tal-login tal-utent.

Kif Tissakkar il-Kontijiet tal-Utenti Wara Awtentikazzjonijiet Konsekuttivi falluti

Tista' tikkonfigura l-funzjonalità ta' hawn fuq fil-fajls /etc/pam.d/system-auth u /etc/pam.d/password-auth, billi żżid l-entrati hawn taħt fit-taqsima auth.

auth    required       pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth    [default=die]  pam_faillock.so authfail audit deny=3 unlock_time=600

Fejn:

  • awditjar – jippermetti l-awditjar tal-utent.
  • ċaħda – użat biex jiddefinixxi n-numru ta’ tentattivi (3 f’dan il-każ), wara li l-kont tal-utent għandu jiġi msakkar.
  • unlock_time – jistabbilixxi l-ħin (300 sekonda = 5 minuti) li għalih il-kont għandu jibqa' msakkra.

Innota li l-ordni ta 'dawn il-linji hija importanti ħafna, konfigurazzjonijiet żbaljati jistgħu jikkawżaw li l-kontijiet tal-utent kollha jiġu msakkra.

It-taqsima auth fiż-żewġ fajls għandu jkollha l-kontenut ta' hawn taħt irranġat f'din l-ordni:

auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent audit deny=3 unlock_time=300
auth        sufficient    pam_unix.so  nullok  try_first_pass
auth        [default=die]  pam_faillock.so  authfail  audit  deny=3  unlock_time=300
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

Issa tiftaħ dawn iż-żewġ fajls bl-għażla tiegħek ta 'editur.

# vi /etc/pam.d/system-auth
# vi /etc/pam.d/password-auth

L-iskrizzjonijiet default fit-taqsima auth iż-żewġ fajls jidhru bħal dan.

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet
auth        required      pam_deny.so

Wara li żżid is-settings ta 'hawn fuq, għandha tidher kif ġej.

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent audit deny=3 unlock_time=300
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        [default=die]  pam_faillock.so  authfail  audit  deny=3  unlock_time=300
auth        requisite     pam_succeed_if.so uid >= 1000 quiet
auth        required      pam_deny.so

Imbagħad żid id-dħul enfasizzat li ġej fit-taqsima tal-kont fiż-żewġ fajls ta 'hawn fuq.

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so
account     required      pam_faillock.so

Kif tissakkar il-kont tal-għerq wara tentattivi ta' login falluti

Biex tissakkar il-kont root wara tentattivi falluti ta 'awtentikazzjoni, żid l-għażla even_deny_root mal-linji fiż-żewġ fajls fit-taqsima auth bħal din.

auth        required      pam_faillock.so preauth silent audit deny=3 even_deny_root unlock_time=300
auth        [default=die]  pam_faillock.so  authfail  audit  deny=3 even_deny_root unlock_time=300

Ladarba tkun ikkonfigurat kollox. Tista 'terġa tibda servizzi ta' aċċess mill-bogħod bħal sshd, biex il-politika ta 'hawn fuq tidħol fis-seħħ, jiġifieri jekk l-utenti jimpjegaw ssh biex jikkonnettjaw mas-server.

# systemctl restart sshd  [On SystemD]
# service sshd restart    [On SysVInit]

Kif Tittestja tentattivi ta' login falluti mill-utent SSH

Mis-settings ta’ hawn fuq, aħna kkonfigurajna s-sistema biex tissakkar kont ta’ utent wara 3 tentattivi ta’ awtentikazzjoni falluti.

F'dan ix-xenarju, l-utent tecmint qed jipprova jaqleb għall-utent aaronkilik, iżda wara 3 logins mhux korretti minħabba password ħażina, indikata mill-messaġġ \Permess miċħud, il-kont tal-utent aaronkilik huwa msakkar kif muri mill-messaġġ \falliment tal-awtentikazzjoni mir-raba' tentattiv.

L-utent għerq jiġi nnotifikat ukoll bl-attentati ta 'login falluti fis-sistema, kif muri fl-iskrin ta' hawn taħt.

Kif tara tentattivi ta' awtentikazzjoni falluti

Tista' tara l-ġurnali kollha tal-awtentikazzjoni li fallew billi tuża l-utilità faillock, li tintuża biex turi u timmodifika r-reġistru tal-falliment tal-awtentikazzjoni.

Tista' tara tentattivi ta' login falluti għal utent partikolari bħal dan.

# faillock --user aaronkilik

Biex tara t-tentattivi kollha ta' login li ma rnexxewx, agħmel faillock mingħajr ebda argument bħal dan:

# faillock

Biex tneħħi r-reġistri tal-falliment tal-awtentikazzjoni tal-utent, mexxi dan il-kmand.

# faillock --user aaronkilik --reset 
OR
# fail --reset	#clears all authentication failure records

Fl-aħħar nett, biex tgħid lis-sistema biex ma tissakkarx il-kontijiet ta' utent jew utent wara diversi tentattivi ta' login mingħajr suċċess, żid l-entrata mmarkata b'kulur aħmar, eżatt fuq fejn pam_faillock tissejjaħ l-ewwel taħt it-taqsima awth fiż-żewġ fajls (/etc/pam.d/ system-auth u /etc/pam.d/password-auth) kif ġej.

Sempliċement żid ismijiet tal-utent separati tal-kolon sħaħ mal-utent tal-għażla fi.

auth  required      pam_env.so
auth   [success=1 default=ignore] pam_succeed_if.so user in tecmint:aaronkilik 
auth   required      pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth   sufficient    pam_unix.so  nullok  try_first_pass
auth   [default=die]  pam_faillock.so  authfail  audit  deny=3  unlock_time=600
auth   requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth   required      pam_deny.so

Għal aktar informazzjoni, ara l-paġni man pam_faillock u faillock.

# man pam_faillock
# man faillock

Tista' wkoll tixtieq taqra dawn l-artikoli utli li ġejjin:

  1. TMOUT – Auto Logout Linux Shell Meta M'hemm l-ebda Attività
  2. Modalità Utent Uniku: Irrisettjar/Irkupra l-Password tal-Kont tal-Utent tal-Għeruq Minsija
  3. 5 L-Aħjar Prattiki biex JikSeguru u Jipproteġu SSH Server
  4. Kif Ikseb Twissijiet bl-Email ta' Login SSH Root u User

Dak kollox! F'dan l-artikolu, urejna kif tinforza s-sigurtà sempliċi tas-server billi tissakkar kont ta 'utent wara x numru ta' logins mhux korretti jew tentattivi ta 'awtentikazzjoni falluti. Uża l-formola tal-kummenti hawn taħt biex taqsam il-mistoqsijiet jew il-ħsibijiet tiegħek magħna.