Hvernig á að læsa notendareikningum eftir misheppnaðar innskráningartilraunir
Þessi handbók mun sýna hvernig á að læsa reikningi kerfisnotanda eftir tilgreindan fjölda misheppnaðra innskráningartilrauna í CentOS, RHEL og Fedora dreifingum. Hér er áherslan á að framfylgja einföldu netþjónsöryggi með því að læsa reikningi notanda eftir fjölda misheppnaðra auðkenninga í röð.
Þetta er hægt að ná með því að nota pam_faillock
eininguna sem hjálpar til við að læsa notendareikningum tímabundið ef margar misheppnaðar auðkenningartilraunir eru og heldur skrá yfir þennan atburð. Misheppnaðar innskráningartilraunir eru geymdar í skrám fyrir hvern notanda í skráningarskránni sem er sjálfgefið /var/run/faillock/
.
pam_faillock er hluti af Linux PAM (Pluggable Authentication Modules), kraftmikið kerfi til að innleiða auðkenningarþjónustu í forritum og ýmsum kerfisþjónustum sem við útskýrðum stuttlega undir að stilla PAM til að endurskoða notendainnskráningarskel virkni.
Hvernig á að læsa notendareikningum eftir misheppnaða auðkenningu í röð
Þú getur stillt ofangreinda virkni í /etc/pam.d/system-auth og /etc/pam.d/password-auth skránum með því að bæta færslunum hér að neðan við auth
hlutann.
auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600 auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600
Hvar:
endurskoðun
– gerir notendaendurskoðun kleift.neita
– notað til að skilgreina fjölda tilrauna (3 í þessu tilfelli), eftir það ætti að læsa notandareikningnum.opnunartími
– stillir tímann (300 sekúndur = 5 mínútur) sem reikningurinn á að vera læstur fyrir.
Athugaðu að röð þessara lína er mjög mikilvæg, rangar stillingar geta valdið því að allir notendareikningar læsast.
auth
hlutinn í báðum skrám ætti að hafa innihaldið hér að neðan í þessari röð:
auth required pam_env.so auth required pam_faillock.so preauth silent audit deny=3 unlock_time=300 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=300 auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth required pam_deny.so
Opnaðu nú þessar tvær skrár með vali ritstjóra.
# vi /etc/pam.d/system-auth # vi /etc/pam.d/password-auth
Sjálfgefnar færslur í auth
hlutanum, báðar skrárnar líta svona út.
#%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth sufficient pam_fprintd.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet auth required pam_deny.so
Eftir að ofangreindum stillingum hefur verið bætt við ætti það að birtast sem hér segir.
#%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth required pam_faillock.so preauth silent audit deny=3 unlock_time=300 auth sufficient pam_fprintd.so auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=300 auth requisite pam_succeed_if.so uid >= 1000 quiet auth required pam_deny.so
Bættu síðan eftirfarandi auðkenndu færslu við reikningshlutann í báðum ofangreindum skrám.
account required pam_unix.so account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quiet account required pam_permit.so account required pam_faillock.so
Hvernig á að læsa rótarreikningi eftir misheppnaðar innskráningartilraunir
Til að læsa rótarreikningnum eftir misheppnaðar auðkenningartilraunir skaltu bæta even_deny_root
valkostinum við línurnar í báðum skrám í auth
hlutanum eins og þetta.
auth required pam_faillock.so preauth silent audit deny=3 even_deny_root unlock_time=300 auth [default=die] pam_faillock.so authfail audit deny=3 even_deny_root unlock_time=300
Þegar þú hefur stillt allt. Þú getur endurræst fjaraðgangsþjónustu eins og sshd, til að ofangreind stefna taki gildi, það er ef notendur munu nota ssh til að tengjast þjóninum.
# systemctl restart sshd [On SystemD] # service sshd restart [On SysVInit]
Hvernig á að prófa SSH notanda mistókst innskráningartilraunir
Frá ofangreindum stillingum stilltum við kerfið til að læsa reikningi notanda eftir 3 misheppnaðar auðkenningartilraunir.
Í þessari atburðarás er notandinn tecmint
að reyna að skipta yfir í notandann aaronkilik
, en eftir 3 rangar innskráningar vegna rangs lykilorðs, gefið til kynna með skilaboðunum „Leyfi hafnað“, Reikningur notandans aaronkilik er læstur eins og sést með skilaboðum um „auðkenningarbilun“ frá fjórðu tilraun.
Rótarnotandanum er einnig tilkynnt um misheppnaðar innskráningartilraunir á kerfið, eins og sýnt er á skjámyndinni hér að neðan.
Hvernig á að skoða misheppnaðar auðkenningartilraunir
Þú getur séð allar misheppnaðar auðkenningarskrár með því að nota bilunarlás tólið, sem er notað til að birta og breyta auðkenningarbilunarskránni.
Þú getur skoðað misheppnaðar innskráningartilraunir fyrir tiltekinn notanda eins og þennan.
# faillock --user aaronkilik
Til að skoða allar misheppnaðar innskráningartilraunir skaltu keyra faillock án nokkurra röksemda eins og svo:
# faillock
Til að hreinsa auðkenningarbilunarskrár notanda skaltu keyra þessa skipun.
# faillock --user aaronkilik --reset OR # fail --reset #clears all authentication failure records
Að lokum, til að segja kerfinu að læsa ekki notanda eða notandareikningum eftir nokkrar misheppnaðar innskráningartilraunir, bætið við færslunni merktri rauðum lit, rétt fyrir ofan þar sem pam_faillock er fyrst kallaður undir auðkenningarhlutanum í báðum skrám (/etc/pam.d/ system-auth og /etc/pam.d/password-auth) sem hér segir.
Bættu einfaldlega við notendanöfnum aðskilin með fullri ristli við valmöguleikann notanda í.
auth required pam_env.so auth [success=1 default=ignore] pam_succeed_if.so user in tecmint:aaronkilik auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600 auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth required pam_deny.so
Fyrir frekari upplýsingar, sjá pam_faillock og faillock man síður.
# man pam_faillock # man faillock
Þú gætir líka viljað lesa þessar eftirfarandi gagnlegu greinar:
- TMOUT – sjálfkrafa útskrá Linux skel þegar engin virkni er
- Einnotandastilling: Núllstilla/endurheimta gleymt lykilorð notandareiknings
- 5 bestu starfsvenjur til að tryggja og vernda SSH netþjón
- Hvernig á að fá viðvaranir um rót og notanda SSH innskráningu í tölvupósti
Það er allt og sumt! Í þessari grein sýndum við hvernig á að framfylgja einföldu netþjónsöryggi með því að læsa reikningi notanda eftir x fjölda rangra innskráninga eða misheppnaðra auðkenningartilrauna. Notaðu athugasemdareyðublaðið hér að neðan til að deila fyrirspurnum þínum eða hugsunum með okkur.