Bii a ṣe le tii Awọn iroyin Olumulo Lẹhin Ti Awọn igbiyanju Wiwọle Wulẹ Ti kuna
Itọsọna yii yoo fihan bi a ṣe le tii akọọlẹ olumulo eto kan lẹhin nọmba ti o ṣe alaye ti awọn igbiyanju iwọle ti o kuna ni CentOS, RHEL ati awọn pinpin Fedora. Nibi, idojukọ ni lati ṣe aabo aabo olupin ti o rọrun nipa titiipa iroyin olumulo kan lẹhin nọmba itẹlera ti awọn ijẹrisi ti ko ni aṣeyọri.
Eyi le ṣee ṣe nipasẹ lilo modulu pam_faillock
eyiti o ṣe iranlọwọ lati tiipa awọn iroyin olumulo igba diẹ ni ọran ti awọn igbiyanju ijẹrisi ti o kuna pupọ ati tọju igbasilẹ iṣẹlẹ yii. Awọn igbiyanju iwọle ti o kuna ni a fipamọ sinu awọn faili fun olumulo ni itọsọna tally eyiti o jẹ /var/run/faillock/
nipasẹ aiyipada.
pam_faillock jẹ apakan ti Lainos PAM (Awọn modulu Ijeri Pluggable), siseto agbara fun imuse awọn iṣẹ ijẹrisi ninu awọn ohun elo ati ọpọlọpọ awọn iṣẹ eto eyiti a ṣalaye ni ṣoki labẹ tito leto PAM lati ṣayẹwo iṣẹ ṣiṣe ikarahun iwọle olumulo.
Bii a ṣe le tii Awọn iroyin Olumulo Lẹhin ti Awọn ijẹrisi Ti o Tẹlera tẹle
O le tunto iṣẹ ti o wa loke ni /etc/pam.d/system-auth ati /etc/pam.d/password-auth awọn faili, nipa fifi awọn titẹ sii ti isalẹ wa si apakan auth
.
auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600 auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600
Nibo:
-
iṣatunwo - n jẹ ki iṣatunṣe olumulo.
-
sẹ
- lo lati ṣalaye nọmba awọn igbiyanju (3 ninu ọran yii), lẹhin eyi o yẹ ki o ti pa iroyin olumulo. -
unlock_time
- ṣeto akoko (Awọn aaya 300 = iṣẹju 5) fun eyiti akọọlẹ naa yẹ ki o wa ni titiipa.
Akiyesi pe aṣẹ ti awọn ila wọnyi ṣe pataki pupọ, awọn atunto ti ko tọ le fa ki gbogbo awọn iroyin olumulo wa ni titiipa.
Apakan auth
ni awọn faili mejeeji yẹ ki o ni akoonu ti o wa ni isalẹ ni ọna yii:
auth required pam_env.so auth required pam_faillock.so preauth silent audit deny=3 unlock_time=300 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=300 auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth required pam_deny.so
Bayi ṣii awọn faili meji wọnyi pẹlu yiyan olootu rẹ.
# vi /etc/pam.d/system-auth # vi /etc/pam.d/password-auth
Awọn titẹ sii aiyipada ni apakan auth
awọn faili mejeeji dabi eleyi.
#%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth sufficient pam_fprintd.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet auth required pam_deny.so
Lẹhin fifi awọn eto ti o wa loke kun, o yẹ ki o han bi atẹle.
#%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth required pam_faillock.so preauth silent audit deny=3 unlock_time=300 auth sufficient pam_fprintd.so auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=300 auth requisite pam_succeed_if.so uid >= 1000 quiet auth required pam_deny.so
Lẹhinna ṣafikun titẹsi ti a ṣe afihan atẹle si apakan akọọlẹ ninu awọn faili mejeeji loke.
account required pam_unix.so account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quiet account required pam_permit.so account required pam_faillock.so
Bii a ṣe le Tii akọọlẹ Gbongbo Lẹhin Awọn igbiyanju Wiwọle Wiwọle
Lati tii akọọlẹ gbongbo lẹhin awọn igbiyanju idanimọ ti o kuna, ṣafikun aṣayan even_deny_root
si awọn ila ninu awọn faili mejeeji ni apakan auth
bii eleyi.
auth required pam_faillock.so preauth silent audit deny=3 even_deny_root unlock_time=300 auth [default=die] pam_faillock.so authfail audit deny=3 even_deny_root unlock_time=300
Lọgan ti o ba tunto ohun gbogbo. O le tun bẹrẹ awọn iṣẹ wiwọle latọna jijin bii sshd, fun eto imulo ti o wa loke lati ni ipa ti o jẹ ti awọn olumulo yoo lo ssh lati sopọ si olupin naa.
# systemctl restart sshd [On SystemD] # service sshd restart [On SysVInit]
Bii o ṣe le Idanwo Awọn igbiyanju Wiwọle Ti o kuna Olumulo SSH
Lati awọn eto ti o wa loke, a tunto eto lati tii akọọlẹ olumulo kan lẹhin 3 awọn igbiyanju idanimọ ti o kuna.
Ni oju iṣẹlẹ yii, olumulo tecmint
n gbiyanju lati yipada si olumulo aaronkilik
, ṣugbọn lẹhin awọn ibuwolu wọle ti ko tọ 3 nitori ọrọ igbaniwọle ti ko tọ, ti o tọka nipasẹ ifiranṣẹ\"Gbigbanilaaye Gbigba", akọọlẹ aaronkilik ti wa ni titiipa bi a ṣe fihan nipasẹ\"ikuna idanimọ” lati igbiyanju kẹrin.
Olumulo gbongbo tun jẹ ifitonileti ti awọn igbiyanju iwọle iwọle ti o kuna lori eto naa, bi a ṣe han ninu iboju iboju ni isalẹ.
Bii O ṣe le Wo Awọn Igbiyanju Ijeri Ijeri
O le wo gbogbo awọn iwe afọwọkọ ti o kuna nipa lilo iwulo ikuna, eyiti o lo lati han ati yipada log ikuna ijerisi.
O le wo awọn igbiyanju iwọle iwọle ti o kuna fun olumulo kan pato bii eleyi.
# faillock --user aaronkilik
Lati wo gbogbo awọn igbidanwo iwọle wiwọle ti ko ni aṣeyọri, ṣiṣe ikuna laisi eyikeyi ariyanjiyan bii bẹ:
# faillock
Lati ko awọn akọọlẹ ikuna ijerisi olumulo kan kuro, ṣiṣe aṣẹ yii.
# faillock --user aaronkilik --reset OR # fail --reset #clears all authentication failure records
Ni ikẹhin, lati sọ fun eto naa lati ma tii olumulo tabi awọn iroyin olumulo lẹhin ọpọlọpọ awọn igbiyanju wiwọle iwọle ti ko ni aṣeyọri, ṣafikun titẹ sii ti a samisi ni awọ pupa, ni oke nibiti a ti pe pam_faillock akọkọ labẹ apakan auth ninu awọn faili mejeeji (/etc/pam.d/ system-auth ati /etc/pam.d/password-auth) bi atẹle.
Nìkan ṣafikun awọn orukọ olumulo ti o ya sọdọ oluṣafihan ni kikun si olumulo aṣayan inu.
auth required pam_env.so auth [success=1 default=ignore] pam_succeed_if.so user in tecmint:aaronkilik auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600 auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth required pam_deny.so
Fun alaye diẹ sii, wo awọn oju-iwe pam_faillock ati oju-iwe eniyan.
# man pam_faillock # man faillock
O tun le fẹ lati ka awọn nkan wọnyi ti o wulo:
- TMOUT - Aifọwọyi Logout Linux Ikarahun Nigba ti Ko Si Iṣẹ kankan
- Ipo Olumulo Kan: Ntun/Ngbapada Ọrọ igbaniwọle Iwe Iroyin Olumulo Gbagbe
- Awọn adaṣe 5 ti o dara julọ lati Ni aabo ati aabo Olupin SSH
- Bii o ṣe le Gba Gbongbo ati Olumulo SSH Wiwọle Awọn titaniji Imeeli
Gbogbo ẹ niyẹn! Ninu nkan yii, a fihan bi a ṣe le ṣe aabo aabo olupin ti o rọrun nipa titiipa iroyin olumulo kan lẹhin x nọmba ti awọn iwọle ti ko tọ tabi awọn igbiyanju idanimọ ti o kuna. Lo fọọmu asọye ni isalẹ lati pin awọn ibeere rẹ tabi awọn ero pẹlu wa.