Giriş synanyşyklaryndan soň ulanyjy hasaplaryny nädip gulplamaly

Bu gollanma, CentOS, RHEL we Fedora paýlamalarynda belli bir mukdarda giriş synanyşyklaryndan soň ulgam ulanyjysynyň hasabyny nädip gulplamalydygyny görkezer. Bu ýerde, yzygiderli şowsuz tassyklamalardan soň ulanyjynyň hasabyny gulplamak bilen ýönekeý serwer howpsuzlygyny üpjün etmek.

Birnäçe gezek tassyklamak synanyşygy bolmadyk ýagdaýynda ulanyjy hasaplaryny wagtlaýyn gulplamaga kömek edýän we bu wakanyň ýazgysyny ýöredýän pam_faillock modulyny ulanmak arkaly gazanyp bolar. Şowsuz giriş synanyşyklary, adaty ýagdaýda /var/run/faillock/ bolan umumy ulanyjy katalogynda saklanýar.

pam_faillock Linux PAM-yň (Pluggable Autentifikasiýa Modullary), programmalarda we dürli ulgam hyzmatlarynda tanamak hyzmatlaryny amala aşyrmagyň dinamiki mehanizmi bolup, ulanyjylaryň giriş gabygynyň işjeňligini barlamak üçin PAM-y düzmek bilen gysga düşündirdik.

Yzygiderli şowsuz tassyklamalardan soň ulanyjy hasaplaryny nädip gulplamaly

Aboveokardaky funksiýany aşakdaky ýazgylary auth bölümine goşup, /etc/pam.d/system-auth we /etc/pam.d/password-auth faýllarynda düzüp bilersiňiz.

auth    required       pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth    [default=die]  pam_faillock.so authfail audit deny=3 unlock_time=600

Nirede:

  • audit - ulanyjynyň barlagyny geçirmäge mümkinçilik berýär.
  • inkär - synanyşyklaryň sanyny kesgitlemek üçin ulanylýar (bu ýagdaýda 3), şondan soň ulanyjy hasaby gulplanmaly.
  • unlock_time - hasabyň gulplanmaly wagtyny (300 sekunt=5 minut) kesgitleýär.

Bu setirleriň tertibi gaty möhüm, ýalňyş konfigurasiýalar ähli ulanyjy hasaplarynyň gulplanmagyna sebäp bolup biler.

Iki faýldaky auth bölüminde aşakdaky mazmun şu tertipde ýerleşdirilen bolmaly:

auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent audit deny=3 unlock_time=300
auth        sufficient    pam_unix.so  nullok  try_first_pass
auth        [default=die]  pam_faillock.so  authfail  audit  deny=3  unlock_time=300
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

Indi bu iki faýly öz redaktoryňyz bilen açyň.

# vi /etc/pam.d/system-auth
# vi /etc/pam.d/password-auth

auth bölümindäki deslapky ýazgylar iki faýl hem şuňa meňzeýär.

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet
auth        required      pam_deny.so

Aboveokardaky sazlamalary goşanyňyzdan soň aşakdaky ýaly görünmeli.

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent audit deny=3 unlock_time=300
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        [default=die]  pam_faillock.so  authfail  audit  deny=3  unlock_time=300
auth        requisite     pam_succeed_if.so uid >= 1000 quiet
auth        required      pam_deny.so

Soňra ýokardaky faýllaryň ikisinde-de hasap bölümine aşakdaky görkezilen ýazgyny goşuň.

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so
account     required      pam_faillock.so

Giriş synanyşyklaryndan soň kök hasaby nädip gulplamaly

Hakyky tanamak synanyşyklaryndan soň kök hasaby gulplamak üçin, şuňa meňzeş auth bölümindäki iki faýlyň setirlerine even_deny_root opsiýasyny goşuň.

auth        required      pam_faillock.so preauth silent audit deny=3 even_deny_root unlock_time=300
auth        [default=die]  pam_faillock.so  authfail  audit  deny=3 even_deny_root unlock_time=300

Hemme zady düzeniňizden soň. Aboveokardaky syýasatyň güýje girmegi üçin, ulanyjylar serwere birikmek üçin ssh ulanjak bolsa, sshd ýaly uzakdan giriş hyzmatlaryny täzeden açyp bilersiňiz.

# systemctl restart sshd  [On SystemD]
# service sshd restart    [On SysVInit]

SSH ulanyjysynyň giriş synanyşyklaryny nädip barlamaly

Aboveokardaky sazlamalardan, 3 sany hakyky tanamak synanyşygyndan soň ulanyjynyň hasabyny gulplamak üçin ulgamy düzdük.

Bu ssenariýde, ulanyjy tecmint ulanyjy aaronkilik ulanyjysyna geçmäge synanyşýar, ýöne\Rugsat berilmedi habary bilen görkezilen parol ýalňyşlygy sebäpli 3 sany nädogry girişden soň, ulanyjy aaronkilik hasaby, dördünji synanyşykdan\autentifikasiýa şowsuzlygy habarynda görkezilişi ýaly gulplandy.

Aşakdaky ekranda görkezilişi ýaly kök ulanyja ulgamdaky giriş synanyşyklary barada hem habar berilýär.

Şowsuz tanamak synanyşyklaryny nädip görmeli

Hakyky tanamaklyk näsazlyk gündeligini görkezmek we üýtgetmek üçin ulanylýan “Faillock” programmasyny ulanyp, ähli şowsuz tanamaklyk gündeligini görüp bilersiňiz.

Munuň ýaly belli bir ulanyjy üçin şowsuz giriş synanyşyklaryny görüp bilersiňiz.

# faillock --user aaronkilik

Giriş synanyşyklarynyň hemmesini görmek üçin, şuňa meňzeş argumentsiz ýalňyş işlediň:

# faillock

Ulanyjynyň tanamaklyk näsazlyk surnallaryny arassalamak üçin bu buýrugy işlediň.

# faillock --user aaronkilik --reset 
OR
# fail --reset	#clears all authentication failure records

Iň soňunda, birnäçe şowsuz giriş synanyşyklaryndan soň ulanyjynyň ýa-da ulanyjynyň hasaplaryny gulplamazlygy aýtmak üçin, iki faýlda (/etc/pam.d/) pam_faillockyň ilkinji gezek çagyrylýan ýeriniň ýokarsynda gyzyl reňk bilen ýazylan ýazgyny goşuň. system-auth we /etc/pam.d/password-auth) aşakdaky ýaly.

Diňe opsiýa ulanyjysyna doly sütün bilen bölünen ulanyjy atlaryny goşuň.

auth  required      pam_env.so
auth   [success=1 default=ignore] pam_succeed_if.so user in tecmint:aaronkilik 
auth   required      pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth   sufficient    pam_unix.so  nullok  try_first_pass
auth   [default=die]  pam_faillock.so  authfail  audit  deny=3  unlock_time=600
auth   requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth   required      pam_deny.so

Has giňişleýin maglumat üçin pam_faillock we faillock adam sahypalaryna serediň.

# man pam_faillock
# man faillock

Şeýle hem aşakdaky peýdaly makalalary okamak isläp bilersiňiz:

  1. TMOUT - Haýsydyr bir iş ýok wagty awtomatiki usulda Linux Linux gabygy
  2. Usereke ulanyjy tertibi: gatdan çykarylan kök ulanyjy hasaby parolyny täzeden düzmek/dikeltmek
  3. SSH serwerini goramak we goramak üçin 5 iň oňat tejribe
  4. Kök we ulanyjy SSH giriş e-poçta duýduryşlaryny nädip almaly

Bu hemmesi! Bu makalada nädogry girişlerden ýa-da tassyklamak synanyşyklaryndan soň ulanyjynyň hasabyny gulplamak bilen ýönekeý serwer howpsuzlygyny nädip berjaý etmelidigini görkezdik. Soraglaryňyzy ýa-da pikirleriňizi biziň bilen paýlaşmak üçin aşakdaky düşündiriş formasyny ulanyň.