Ricerca nel sito web

Utilizza Pam_Tally2 per bloccare e sbloccare i tentativi di accesso SSH non riusciti

Il modulo pam_tally2 viene utilizzato per bloccare gli account utente dopo un certo numero di tentativi di accesso ssh falliti effettuati al sistema. Questo modulo mantiene il conteggio dei tentativi di accesso e dei troppi tentativi falliti.

Il modulo pam_tally2 è composto da due parti, una è pam_tally2.so e un'altra è pam_tally2. Si basa sul modulo PAM e può essere utilizzato per esaminare e manipolare il file del contatore. Può visualizzare il conteggio dei tentativi di accesso degli utenti, impostare i conteggi su base individuale, sbloccare tutti i conteggi degli utenti.

Il modulo pam_faillock sostituisce i moduli pam_tally e pam_tally2 che sono stati deprecati in RHEL 7 e RHEL 8. Offre maggiore flessibilità e opzioni rispetto ai due moduli.

Per impostazione predefinita, il modulo pam_tally2 è già installato sulla maggior parte delle distribuzioni Linux ed è controllato dal pacchetto PAM stesso. Questo articolo spiega come bloccare e sbloccare gli account SSH dopo aver raggiunto un determinato numero di tentativi di accesso non riusciti.

Come bloccare e sbloccare gli account utente

Utilizza il file di configurazione "/etc/pam.d/password-auth" per configurare gli accessi ai tentativi di accesso. Apri questo file e aggiungi la seguente riga di configurazione AUTH all'inizio della sezione "auth".

auth        required      pam_tally2.so  file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200

Successivamente, aggiungi la seguente riga alla sezione "account".

account     required      pam_tally2.so
Parametri
  1. file=/var/log/tallylog: il file log predefinito viene utilizzato per conservare i conteggi degli accessi.
  2. deny=3: nega l'accesso dopo 3 tentativi e blocca l'utente.
  3. even_deny_root: la policy viene applicata anche all'utente root.
  4. unlock_time=1200: l'account verrà bloccato fino a 20 minuti. (rimuovi questi parametri se desideri bloccarli in modo permanente fino allo sblocco manuale.)

Una volta completata la configurazione di cui sopra, prova a tentare 3 tentativi di accesso non riusciti al server utilizzando qualsiasi "nome utente". Dopo aver effettuato più di 3 tentativi, riceverai il seguente messaggio.

[root@tecmint ~]# ssh [email 
[email 's password:
Permission denied, please try again.
[email 's password:
Permission denied, please try again.
[email 's password:
Account locked due to 4 failed logins
Account locked due to 5 failed logins
Last login: Mon Apr 22 21:21:06 2013 from 172.16.16.52

Ora verifica o controlla il contatore tentato dall'utente con il comando seguente.

[root@tecmint ~]# pam_tally2 --user=tecmint
Login           Failures  Latest    failure     From
tecmint              5    04/22/13  21:22:37    172.16.16.52

Come reimpostare o sbloccare l'account utente per abilitare nuovamente l'accesso.

[root@tecmint pam.d]# pam_tally2 --user=tecmint --reset
Login           Failures  Latest    failure     From
tecmint             5     04/22/13  17:10:42    172.16.16.52

Verificare che il tentativo di accesso sia stato ripristinato o sbloccato

[root@tecmint pam.d]# pam_tally2 --user=tecmint
Login           Failures   Latest   failure     From
tecmint            0

Il modulo PAM fa parte di tutta la distribuzione Linux e la configurazione fornita dovrebbe funzionare su tutta la distribuzione Linux. Esegui "man pam_tally2" dalla riga di comando per saperne di più.

Leggi anche:

  1. 5 suggerimenti per proteggere e proteggere il server SSH
  2. Blocca gli attacchi di forza bruta SSH utilizzando DenyHosts