Hvernig á að læsa notendareikningum eftir misheppnaðar innskráningartilraunir


Þessi handbók mun sýna hvernig á að læsa reikningi kerfisnotanda eftir tilgreindan fjölda misheppnaðra innskráningartilrauna í CentOS, RHEL og Fedora dreifingum. Hér er áherslan á að framfylgja einföldu netþjónsöryggi með því að læsa reikningi notanda eftir fjölda misheppnaðra auðkenninga í röð.

Þetta er hægt að ná með því að nota pam_faillock eininguna sem hjálpar til við að læsa notendareikningum tímabundið ef margar misheppnaðar auðkenningartilraunir eru og heldur skrá yfir þennan atburð. Misheppnaðar innskráningartilraunir eru geymdar í skrám fyrir hvern notanda í skráningarskránni sem er sjálfgefið /var/run/faillock/.

pam_faillock er hluti af Linux PAM (Pluggable Authentication Modules), kraftmikið kerfi til að innleiða auðkenningarþjónustu í forritum og ýmsum kerfisþjónustum sem við útskýrðum stuttlega undir að stilla PAM til að endurskoða notendainnskráningarskel virkni.

Hvernig á að læsa notendareikningum eftir misheppnaða auðkenningu í röð

Þú getur stillt ofangreinda virkni í /etc/pam.d/system-auth og /etc/pam.d/password-auth skránum með því að bæta færslunum hér að neðan við auth hlutann.

auth    required       pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth    [default=die]  pam_faillock.so authfail audit deny=3 unlock_time=600

Hvar:

  • endurskoðun – gerir notendaendurskoðun kleift.
  • neita – notað til að skilgreina fjölda tilrauna (3 í þessu tilfelli), eftir það ætti að læsa notandareikningnum.
  • opnunartími – stillir tímann (300 sekúndur = 5 mínútur) sem reikningurinn á að vera læstur fyrir.

Athugaðu að röð þessara lína er mjög mikilvæg, rangar stillingar geta valdið því að allir notendareikningar læsast.

auth hlutinn í báðum skrám ætti að hafa innihaldið hér að neðan í þessari röð:

auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent audit deny=3 unlock_time=300
auth        sufficient    pam_unix.so  nullok  try_first_pass
auth        [default=die]  pam_faillock.so  authfail  audit  deny=3  unlock_time=300
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

Opnaðu nú þessar tvær skrár með vali ritstjóra.

# vi /etc/pam.d/system-auth
# vi /etc/pam.d/password-auth 

Sjálfgefnar færslur í auth hlutanum, báðar skrárnar líta svona út.

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet
auth        required      pam_deny.so

Eftir að ofangreindum stillingum hefur verið bætt við ætti það að birtast sem hér segir.

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent audit deny=3 unlock_time=300
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        [default=die]  pam_faillock.so  authfail  audit  deny=3  unlock_time=300
auth        requisite     pam_succeed_if.so uid >= 1000 quiet
auth        required      pam_deny.so

Bættu síðan eftirfarandi auðkenndu færslu við reikningshlutann í báðum ofangreindum skrám.

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so
account     required      pam_faillock.so

Hvernig á að læsa rótarreikningi eftir misheppnaðar innskráningartilraunir

Til að læsa rótarreikningnum eftir misheppnaðar auðkenningartilraunir skaltu bæta even_deny_root valkostinum við línurnar í báðum skrám í auth hlutanum eins og þetta.

auth        required      pam_faillock.so preauth silent audit deny=3 even_deny_root unlock_time=300
auth        [default=die]  pam_faillock.so  authfail  audit  deny=3 even_deny_root unlock_time=300

Þegar þú hefur stillt allt. Þú getur endurræst fjaraðgangsþjónustu eins og sshd, til að ofangreind stefna taki gildi, það er ef notendur munu nota ssh til að tengjast þjóninum.

# systemctl restart sshd  [On SystemD]
# service sshd restart    [On SysVInit]

Hvernig á að prófa SSH notanda mistókst innskráningartilraunir

Frá ofangreindum stillingum stilltum við kerfið til að læsa reikningi notanda eftir 3 misheppnaðar auðkenningartilraunir.

Í þessari atburðarás er notandinn tecmint að reyna að skipta yfir í notandann aaronkilik, en eftir 3 rangar innskráningar vegna rangs lykilorðs, gefið til kynna með skilaboðunum „Leyfi hafnað“, Reikningur notandans aaronkilik er læstur eins og sést með skilaboðum um „auðkenningarbilun“ frá fjórðu tilraun.

Rótarnotandanum er einnig tilkynnt um misheppnaðar innskráningartilraunir á kerfið, eins og sýnt er á skjámyndinni hér að neðan.

Hvernig á að skoða misheppnaðar auðkenningartilraunir

Þú getur séð allar misheppnaðar auðkenningarskrár með því að nota bilunarlás tólið, sem er notað til að birta og breyta auðkenningarbilunarskránni.

Þú getur skoðað misheppnaðar innskráningartilraunir fyrir tiltekinn notanda eins og þennan.

# faillock --user aaronkilik

Til að skoða allar misheppnaðar innskráningartilraunir skaltu keyra faillock án nokkurra röksemda eins og svo:

# faillock 

Til að hreinsa auðkenningarbilunarskrár notanda skaltu keyra þessa skipun.

# faillock --user aaronkilik --reset 
OR
# fail --reset	#clears all authentication failure records

Að lokum, til að segja kerfinu að læsa ekki notanda eða notandareikningum eftir nokkrar misheppnaðar innskráningartilraunir, bætið við færslunni merktri rauðum lit, rétt fyrir ofan þar sem pam_faillock er fyrst kallaður undir auðkenningarhlutanum í báðum skrám (/etc/pam.d/ system-auth og /etc/pam.d/password-auth) sem hér segir.

Bættu einfaldlega við notendanöfnum aðskilin með fullri ristli við valmöguleikann notanda í.

auth  required      pam_env.so
auth   [success=1 default=ignore] pam_succeed_if.so user in tecmint:aaronkilik 
auth   required      pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth   sufficient    pam_unix.so  nullok  try_first_pass
auth   [default=die]  pam_faillock.so  authfail  audit  deny=3  unlock_time=600
auth   requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth   required      pam_deny.so

Fyrir frekari upplýsingar, sjá pam_faillock og faillock man síður.

# man pam_faillock
# man faillock 

Þú gætir líka viljað lesa þessar eftirfarandi gagnlegu greinar:

  1. TMOUT – sjálfkrafa útskrá Linux skel þegar engin virkni er
  2. Einnotandastilling: Núllstilla/endurheimta gleymt lykilorð notandareiknings
  3. 5 bestu starfsvenjur til að tryggja og vernda SSH netþjón
  4. Hvernig á að fá viðvaranir um rót og notanda SSH innskráningu í tölvupósti

Það er allt og sumt! Í þessari grein sýndum við hvernig á að framfylgja einföldu netþjónsöryggi með því að læsa reikningi notanda eftir x fjölda rangra innskráninga eða misheppnaðra auðkenningartilrauna. Notaðu athugasemdareyðublaðið hér að neðan til að deila fyrirspurnum þínum eða hugsunum með okkur.