Bii a ṣe le tii Awọn iroyin Olumulo Lẹhin Ti Awọn igbiyanju Wiwọle Wulẹ Ti kuna

Itọsọna yii yoo fihan bi a ṣe le tii akọọlẹ olumulo eto kan lẹhin nọmba ti o ṣe alaye ti awọn igbiyanju iwọle ti o kuna ni CentOS, RHEL ati awọn pinpin Fedora. Nibi, idojukọ ni lati ṣe aabo aabo olupin ti o rọrun nipa titiipa iroyin olumulo kan lẹhin nọmba itẹlera ti awọn ijẹrisi ti ko ni aṣeyọri.

Eyi le ṣee ṣe nipasẹ lilo modulu pam_faillock eyiti o ṣe iranlọwọ lati tiipa awọn iroyin olumulo igba diẹ ni ọran ti awọn igbiyanju ijẹrisi ti o kuna pupọ ati tọju igbasilẹ iṣẹlẹ yii. Awọn igbiyanju iwọle ti o kuna ni a fipamọ sinu awọn faili fun olumulo ni itọsọna tally eyiti o jẹ /var/run/faillock/ nipasẹ aiyipada.

pam_faillock jẹ apakan ti Lainos PAM (Awọn modulu Ijeri Pluggable), siseto agbara fun imuse awọn iṣẹ ijẹrisi ninu awọn ohun elo ati ọpọlọpọ awọn iṣẹ eto eyiti a ṣalaye ni ṣoki labẹ tito leto PAM lati ṣayẹwo iṣẹ ṣiṣe ikarahun iwọle olumulo.

Bii a ṣe le tii Awọn iroyin Olumulo Lẹhin ti Awọn ijẹrisi Ti o Tẹlera tẹle

O le tunto iṣẹ ti o wa loke ni /etc/pam.d/system-auth ati /etc/pam.d/password-auth awọn faili, nipa fifi awọn titẹ sii ti isalẹ wa si apakan auth .

auth    required       pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth    [default=die]  pam_faillock.so authfail audit deny=3 unlock_time=600

Nibo:

  • iṣatunwo - n jẹ ki iṣatunṣe olumulo.
  • sẹ - lo lati ṣalaye nọmba awọn igbiyanju (3 ninu ọran yii), lẹhin eyi o yẹ ki o ti pa iroyin olumulo.
  • unlock_time - ṣeto akoko (Awọn aaya 300 = iṣẹju 5) fun eyiti akọọlẹ naa yẹ ki o wa ni titiipa.

Akiyesi pe aṣẹ ti awọn ila wọnyi ṣe pataki pupọ, awọn atunto ti ko tọ le fa ki gbogbo awọn iroyin olumulo wa ni titiipa.

Apakan auth ni awọn faili mejeeji yẹ ki o ni akoonu ti o wa ni isalẹ ni ọna yii:

auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent audit deny=3 unlock_time=300
auth        sufficient    pam_unix.so  nullok  try_first_pass
auth        [default=die]  pam_faillock.so  authfail  audit  deny=3  unlock_time=300
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

Bayi ṣii awọn faili meji wọnyi pẹlu yiyan olootu rẹ.

# vi /etc/pam.d/system-auth
# vi /etc/pam.d/password-auth

Awọn titẹ sii aiyipada ni apakan auth awọn faili mejeeji dabi eleyi.

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet
auth        required      pam_deny.so

Lẹhin fifi awọn eto ti o wa loke kun, o yẹ ki o han bi atẹle.

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent audit deny=3 unlock_time=300
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        [default=die]  pam_faillock.so  authfail  audit  deny=3  unlock_time=300
auth        requisite     pam_succeed_if.so uid >= 1000 quiet
auth        required      pam_deny.so

Lẹhinna ṣafikun titẹsi ti a ṣe afihan atẹle si apakan akọọlẹ ninu awọn faili mejeeji loke.

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so
account     required      pam_faillock.so

Bii a ṣe le Tii akọọlẹ Gbongbo Lẹhin Awọn igbiyanju Wiwọle Wiwọle

Lati tii akọọlẹ gbongbo lẹhin awọn igbiyanju idanimọ ti o kuna, ṣafikun aṣayan even_deny_root si awọn ila ninu awọn faili mejeeji ni apakan auth bii eleyi.

auth        required      pam_faillock.so preauth silent audit deny=3 even_deny_root unlock_time=300
auth        [default=die]  pam_faillock.so  authfail  audit  deny=3 even_deny_root unlock_time=300

Lọgan ti o ba tunto ohun gbogbo. O le tun bẹrẹ awọn iṣẹ wiwọle latọna jijin bii sshd, fun eto imulo ti o wa loke lati ni ipa ti o jẹ ti awọn olumulo yoo lo ssh lati sopọ si olupin naa.

# systemctl restart sshd  [On SystemD]
# service sshd restart    [On SysVInit]

Bii o ṣe le Idanwo Awọn igbiyanju Wiwọle Ti o kuna Olumulo SSH

Lati awọn eto ti o wa loke, a tunto eto lati tii akọọlẹ olumulo kan lẹhin 3 awọn igbiyanju idanimọ ti o kuna.

Ni oju iṣẹlẹ yii, olumulo tecmint n gbiyanju lati yipada si olumulo aaronkilik , ṣugbọn lẹhin awọn ibuwolu wọle ti ko tọ 3 nitori ọrọ igbaniwọle ti ko tọ, ti o tọka nipasẹ ifiranṣẹ\"Gbigbanilaaye Gbigba", akọọlẹ aaronkilik ti wa ni titiipa bi a ṣe fihan nipasẹ\"ikuna idanimọ” lati igbiyanju kẹrin.

Olumulo gbongbo tun jẹ ifitonileti ti awọn igbiyanju iwọle iwọle ti o kuna lori eto naa, bi a ṣe han ninu iboju iboju ni isalẹ.

Bii O ṣe le Wo Awọn Igbiyanju Ijeri Ijeri

O le wo gbogbo awọn iwe afọwọkọ ti o kuna nipa lilo iwulo ikuna, eyiti o lo lati han ati yipada log ikuna ijerisi.

O le wo awọn igbiyanju iwọle iwọle ti o kuna fun olumulo kan pato bii eleyi.

# faillock --user aaronkilik

Lati wo gbogbo awọn igbidanwo iwọle wiwọle ti ko ni aṣeyọri, ṣiṣe ikuna laisi eyikeyi ariyanjiyan bii bẹ:

# faillock

Lati ko awọn akọọlẹ ikuna ijerisi olumulo kan kuro, ṣiṣe aṣẹ yii.

# faillock --user aaronkilik --reset 
OR
# fail --reset	#clears all authentication failure records

Ni ikẹhin, lati sọ fun eto naa lati ma tii olumulo tabi awọn iroyin olumulo lẹhin ọpọlọpọ awọn igbiyanju wiwọle iwọle ti ko ni aṣeyọri, ṣafikun titẹ sii ti a samisi ni awọ pupa, ni oke nibiti a ti pe pam_faillock akọkọ labẹ apakan auth ninu awọn faili mejeeji (/etc/pam.d/ system-auth ati /etc/pam.d/password-auth) bi atẹle.

Nìkan ṣafikun awọn orukọ olumulo ti o ya sọdọ oluṣafihan ni kikun si olumulo aṣayan inu.

auth  required      pam_env.so
auth   [success=1 default=ignore] pam_succeed_if.so user in tecmint:aaronkilik 
auth   required      pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth   sufficient    pam_unix.so  nullok  try_first_pass
auth   [default=die]  pam_faillock.so  authfail  audit  deny=3  unlock_time=600
auth   requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth   required      pam_deny.so

Fun alaye diẹ sii, wo awọn oju-iwe pam_faillock ati oju-iwe eniyan.

# man pam_faillock
# man faillock

O tun le fẹ lati ka awọn nkan wọnyi ti o wulo:

  1. TMOUT - Aifọwọyi Logout Linux Ikarahun Nigba ti Ko Si Iṣẹ kankan
  2. Ipo Olumulo Kan: Ntun/Ngbapada Ọrọ igbaniwọle Iwe Iroyin Olumulo Gbagbe
  3. Awọn adaṣe 5 ti o dara julọ lati Ni aabo ati aabo Olupin SSH
  4. Bii o ṣe le Gba Gbongbo ati Olumulo SSH Wiwọle Awọn titaniji Imeeli

Gbogbo ẹ niyẹn! Ninu nkan yii, a fihan bi a ṣe le ṣe aabo aabo olupin ti o rọrun nipa titiipa iroyin olumulo kan lẹhin x nọmba ti awọn iwọle ti ko tọ tabi awọn igbiyanju idanimọ ti o kuna. Lo fọọmu asọye ni isalẹ lati pin awọn ibeere rẹ tabi awọn ero pẹlu wa.