Utilizza Pam_Tally2 per bloccare e sbloccare i tentativi di accesso SSH non riusciti
Il modulo pam_tally2 viene utilizzato per bloccare gli account utente dopo un certo numero di tentativi di accesso ssh falliti effettuati al sistema. Questo modulo mantiene il conteggio dei tentativi di accesso e dei troppi tentativi falliti.
Il modulo pam_tally2 è composto da due parti, una è pam_tally2.so e un'altra è pam_tally2. Si basa sul modulo PAM e può essere utilizzato per esaminare e manipolare il file del contatore. Può visualizzare il conteggio dei tentativi di accesso degli utenti, impostare i conteggi su base individuale, sbloccare tutti i conteggi degli utenti.
Il modulo pam_faillock sostituisce i moduli pam_tally e pam_tally2 che sono stati deprecati in RHEL 7 e RHEL 8. Offre maggiore flessibilità e opzioni rispetto ai due moduli.
Per impostazione predefinita, il modulo pam_tally2 è già installato sulla maggior parte delle distribuzioni Linux ed è controllato dal pacchetto PAM stesso. Questo articolo spiega come bloccare e sbloccare gli account SSH dopo aver raggiunto un determinato numero di tentativi di accesso non riusciti.
Come bloccare e sbloccare gli account utente
Utilizza il file di configurazione "/etc/pam.d/password-auth" per configurare gli accessi ai tentativi di accesso. Apri questo file e aggiungi la seguente riga di configurazione AUTH all'inizio della sezione "auth".
auth required pam_tally2.so file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200
Successivamente, aggiungi la seguente riga alla sezione "account".
account required pam_tally2.so
Parametri
- file=/var/log/tallylog: il file log predefinito viene utilizzato per conservare i conteggi degli accessi.
- deny=3: nega l'accesso dopo 3 tentativi e blocca l'utente.
- even_deny_root: la policy viene applicata anche all'utente root.
- unlock_time=1200: l'account verrà bloccato fino a 20 minuti. (rimuovi questi parametri se desideri bloccarli in modo permanente fino allo sblocco manuale.)
Una volta completata la configurazione di cui sopra, prova a tentare 3 tentativi di accesso non riusciti al server utilizzando qualsiasi "nome utente". Dopo aver effettuato più di 3 tentativi, riceverai il seguente messaggio.
[root@tecmint ~]# ssh [email
[email 's password:
Permission denied, please try again.
[email 's password:
Permission denied, please try again.
[email 's password:
Account locked due to 4 failed logins
Account locked due to 5 failed logins
Last login: Mon Apr 22 21:21:06 2013 from 172.16.16.52
Ora verifica o controlla il contatore tentato dall'utente con il comando seguente.
[root@tecmint ~]# pam_tally2 --user=tecmint
Login Failures Latest failure From
tecmint 5 04/22/13 21:22:37 172.16.16.52
Come reimpostare o sbloccare l'account utente per abilitare nuovamente l'accesso.
[root@tecmint pam.d]# pam_tally2 --user=tecmint --reset
Login Failures Latest failure From
tecmint 5 04/22/13 17:10:42 172.16.16.52
Verificare che il tentativo di accesso sia stato ripristinato o sbloccato
[root@tecmint pam.d]# pam_tally2 --user=tecmint
Login Failures Latest failure From
tecmint 0
Il modulo PAM fa parte di tutta la distribuzione Linux e la configurazione fornita dovrebbe funzionare su tutta la distribuzione Linux. Esegui "man pam_tally2" dalla riga di comando per saperne di più.
Leggi anche:
- 5 suggerimenti per proteggere e proteggere il server SSH
- Blocca gli attacchi di forza bruta SSH utilizzando DenyHosts