Giriş synanyşyklaryndan soň ulanyjy hasaplaryny nädip gulplamaly
Bu gollanma, CentOS, RHEL we Fedora paýlamalarynda belli bir mukdarda giriş synanyşyklaryndan soň ulgam ulanyjysynyň hasabyny nädip gulplamalydygyny görkezer. Bu ýerde, yzygiderli şowsuz tassyklamalardan soň ulanyjynyň hasabyny gulplamak bilen ýönekeý serwer howpsuzlygyny üpjün etmek.
Birnäçe gezek tassyklamak synanyşygy bolmadyk ýagdaýynda ulanyjy hasaplaryny wagtlaýyn gulplamaga kömek edýän we bu wakanyň ýazgysyny ýöredýän pam_faillock
modulyny ulanmak arkaly gazanyp bolar. Şowsuz giriş synanyşyklary, adaty ýagdaýda /var/run/faillock/
bolan umumy ulanyjy katalogynda saklanýar.
pam_faillock Linux PAM-yň (Pluggable Autentifikasiýa Modullary), programmalarda we dürli ulgam hyzmatlarynda tanamak hyzmatlaryny amala aşyrmagyň dinamiki mehanizmi bolup, ulanyjylaryň giriş gabygynyň işjeňligini barlamak üçin PAM-y düzmek bilen gysga düşündirdik.
Yzygiderli şowsuz tassyklamalardan soň ulanyjy hasaplaryny nädip gulplamaly
Aboveokardaky funksiýany aşakdaky ýazgylary auth
bölümine goşup, /etc/pam.d/system-auth we /etc/pam.d/password-auth faýllarynda düzüp bilersiňiz.
auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600 auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600
Nirede:
-
audit
- ulanyjynyň barlagyny geçirmäge mümkinçilik berýär. -
inkär
- synanyşyklaryň sanyny kesgitlemek üçin ulanylýar (bu ýagdaýda 3), şondan soň ulanyjy hasaby gulplanmaly. -
unlock_time
- hasabyň gulplanmaly wagtyny (300 sekunt=5 minut) kesgitleýär.
Bu setirleriň tertibi gaty möhüm, ýalňyş konfigurasiýalar ähli ulanyjy hasaplarynyň gulplanmagyna sebäp bolup biler.
Iki faýldaky auth
bölüminde aşakdaky mazmun şu tertipde ýerleşdirilen bolmaly:
auth required pam_env.so auth required pam_faillock.so preauth silent audit deny=3 unlock_time=300 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=300 auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth required pam_deny.so
Indi bu iki faýly öz redaktoryňyz bilen açyň.
# vi /etc/pam.d/system-auth # vi /etc/pam.d/password-auth
auth
bölümindäki deslapky ýazgylar iki faýl hem şuňa meňzeýär.
#%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth sufficient pam_fprintd.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet auth required pam_deny.so
Aboveokardaky sazlamalary goşanyňyzdan soň aşakdaky ýaly görünmeli.
#%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth required pam_faillock.so preauth silent audit deny=3 unlock_time=300 auth sufficient pam_fprintd.so auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=300 auth requisite pam_succeed_if.so uid >= 1000 quiet auth required pam_deny.so
Soňra ýokardaky faýllaryň ikisinde-de hasap bölümine aşakdaky görkezilen ýazgyny goşuň.
account required pam_unix.so account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quiet account required pam_permit.so account required pam_faillock.so
Giriş synanyşyklaryndan soň kök hasaby nädip gulplamaly
Hakyky tanamak synanyşyklaryndan soň kök hasaby gulplamak üçin, şuňa meňzeş auth
bölümindäki iki faýlyň setirlerine even_deny_root
opsiýasyny goşuň.
auth required pam_faillock.so preauth silent audit deny=3 even_deny_root unlock_time=300 auth [default=die] pam_faillock.so authfail audit deny=3 even_deny_root unlock_time=300
Hemme zady düzeniňizden soň. Aboveokardaky syýasatyň güýje girmegi üçin, ulanyjylar serwere birikmek üçin ssh ulanjak bolsa, sshd ýaly uzakdan giriş hyzmatlaryny täzeden açyp bilersiňiz.
# systemctl restart sshd [On SystemD] # service sshd restart [On SysVInit]
SSH ulanyjysynyň giriş synanyşyklaryny nädip barlamaly
Aboveokardaky sazlamalardan, 3 sany hakyky tanamak synanyşygyndan soň ulanyjynyň hasabyny gulplamak üçin ulgamy düzdük.
Bu ssenariýde, ulanyjy tecmint
ulanyjy aaronkilik
ulanyjysyna geçmäge synanyşýar, ýöne\Rugsat berilmedi habary bilen görkezilen parol ýalňyşlygy sebäpli 3 sany nädogry girişden soň, ulanyjy aaronkilik hasaby, dördünji synanyşykdan\autentifikasiýa şowsuzlygy habarynda görkezilişi ýaly gulplandy.
Aşakdaky ekranda görkezilişi ýaly kök ulanyja ulgamdaky giriş synanyşyklary barada hem habar berilýär.
Şowsuz tanamak synanyşyklaryny nädip görmeli
Hakyky tanamaklyk näsazlyk gündeligini görkezmek we üýtgetmek üçin ulanylýan “Faillock” programmasyny ulanyp, ähli şowsuz tanamaklyk gündeligini görüp bilersiňiz.
Munuň ýaly belli bir ulanyjy üçin şowsuz giriş synanyşyklaryny görüp bilersiňiz.
# faillock --user aaronkilik
Giriş synanyşyklarynyň hemmesini görmek üçin, şuňa meňzeş argumentsiz ýalňyş işlediň:
# faillock
Ulanyjynyň tanamaklyk näsazlyk surnallaryny arassalamak üçin bu buýrugy işlediň.
# faillock --user aaronkilik --reset OR # fail --reset #clears all authentication failure records
Iň soňunda, birnäçe şowsuz giriş synanyşyklaryndan soň ulanyjynyň ýa-da ulanyjynyň hasaplaryny gulplamazlygy aýtmak üçin, iki faýlda (/etc/pam.d/) pam_faillockyň ilkinji gezek çagyrylýan ýeriniň ýokarsynda gyzyl reňk bilen ýazylan ýazgyny goşuň. system-auth we /etc/pam.d/password-auth) aşakdaky ýaly.
Diňe opsiýa ulanyjysyna doly sütün bilen bölünen ulanyjy atlaryny goşuň.
auth required pam_env.so auth [success=1 default=ignore] pam_succeed_if.so user in tecmint:aaronkilik auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600 auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth required pam_deny.so
Has giňişleýin maglumat üçin pam_faillock we faillock adam sahypalaryna serediň.
# man pam_faillock # man faillock
Şeýle hem aşakdaky peýdaly makalalary okamak isläp bilersiňiz:
- TMOUT - Haýsydyr bir iş ýok wagty awtomatiki usulda Linux Linux gabygy
- Usereke ulanyjy tertibi: gatdan çykarylan kök ulanyjy hasaby parolyny täzeden düzmek/dikeltmek
- SSH serwerini goramak we goramak üçin 5 iň oňat tejribe
- Kök we ulanyjy SSH giriş e-poçta duýduryşlaryny nädip almaly
Bu hemmesi! Bu makalada nädogry girişlerden ýa-da tassyklamak synanyşyklaryndan soň ulanyjynyň hasabyny gulplamak bilen ýönekeý serwer howpsuzlygyny nädip berjaý etmelidigini görkezdik. Soraglaryňyzy ýa-da pikirleriňizi biziň bilen paýlaşmak üçin aşakdaky düşündiriş formasyny ulanyň.