碼上快樂

相關內容    簡體    繁體

Linux登錄失敗處理功能

本文轉載自   查看原文   2017-12-04 15:01   12543    信息安全

 本文要實現的功能:如果有人惡意嘗試破解你的服務器密碼,那么這個功能就能幫你起到一定的作用,當嘗試密碼錯誤超過設定的次數后,就會鎖定該賬戶多長時間(自行設定),時間過后即可自行解鎖,這樣可以增加攻擊者的成本。

   服務器系統:centos6.5(centos其他版本應該也是可以的,請自行測試)

1.備份要操作的兩個配置文件

cp /etc/pam.d/sshd /etc/pam.d/sshd.bak
cp /etc/pam.d/login /etc/pam.d/login.bak

2.檢查是否有pam_tally2.so模塊

[root@iZ25dd99ylmZ security]# find /lib* -iname "pam_tally2.so"
/lib64/security/pam_tally2.so
[root@iZ25dd99ylmZ security]# find /lib* -iname "pam_tally.so"
[root@iZ25dd99ylmZ security]# cat /etc/pam.d/sshd

3.登錄失敗處理功能策略(服務器終端)

編輯系統/etc/pam.d/system-auth 文件,在 auth 字段所在的那一部分策 略下面添加如下策略參數:

auth required pam_tally2.so  onerr=fail  deny=3  unlock_time=40 even_deny_root root_unlock_time=30

注意添加的位置,要寫在第一行,即#%PAM-1.0的下面。
以上策略表示:普通帳戶和 root 的帳戶登錄連續 3 次失敗,就統一鎖定 40 秒, 40 秒后可以解鎖。如果不想限制 root 帳戶,可以把  even_deny_root root_unlock_time

這兩個參數去掉, root_unlock_time 表示 root 帳戶的 鎖定時間,onerr=fail 表示連續失敗,deny=3,表示 超過3 次登錄失敗即鎖定。

注意:

用戶鎖定期間,無論在輸入正確還是錯誤的密碼,都將視為錯誤密碼,並以最后一次登錄為鎖定起始時間,若果用戶解鎖后輸入密碼的第一次依然為錯誤密碼,則再次重新鎖定。

 

 查看日志 tail -f /var/log/secure 可以看出下面的提示

4.登錄失敗處理功能策略(ssh遠程連接登錄)

上面只是限制了從終端登陸,如果想限制ssh遠程的話, 要改的是
/etc/pam.d/sshd這個文件,添加的內容跟上面一樣!

 如果在操作中間出現下面這個錯誤:

Dec  7 15:06:51 iZ2zee7gmy40tbverl53rfZ sshd[15747]: PAM unable to dlopen(/lib64/security/pam_tally.so): /lib64/security/pam_tally.so: cannot open shared object file: No such file or directory
Dec  7 15:06:51 iZ2zee7gmy40tbverl53rfZ sshd[15747]: PAM adding faulty module: /lib64/security/pam_tally.so

上面的錯誤意思是在/lib64/security/ 下面找不到pam_tally.so,而我進入到目錄下,確實沒找到這個文件,解決方法是將現有的 pam_tally2.so做個軟連接到pam_tally.so

[root@iZ2zee7gmy40tbverl53rfZ ~]# cd /lib64/security/
[root@iZ2zee7gmy40tbverl53rfZ ~]#ln -s pam_tally2.so pam_tally.so

5.測試

可以故意輸錯密碼超過三次,然后第五次輸入正確密碼,如果正確密碼進入不了系統,說明配置生效。以上的配置是即時生效的,不用重啟配置文件或系統,但是請注意多開個ssh
窗口,防止配置文件更改錯誤,將自己關在服務器外面。

6.解鎖賬戶

如果密碼在鎖定時間內,但是又要立即進入系統,可使用下面方法解鎖被鎖定用戶,當然這是對於root用戶解鎖普通用戶來說的。如果root用戶被鎖,請等待鎖定期過后在操作。

 

查看用戶失敗次數

[root@localhost ~]# pam_tally2          --------------------查看所有用戶登錄失敗次數

[root@localhost ~]# pam_tally2 --user root      ------------指定查看登錄失敗的用戶次數

解鎖指定用戶

[root@iZ25dsfp6c3dZ ~]# pam_tally2 -r -u albert  

[root@iZ2zee7gmy40tbverl5Z ~]# pam_tally2 --user root
Login           Failures Latest failure     From
root                5    12/07/17 17:05:54  49.4.151.18
[root@iZ2zee7gmy40tbverl5Z ~]# pam_tally2 -r -u root
Login           Failures Latest failure     From
root                5    12/07/17 17:05:54  49.4.151.18
[root@iZ2zee7gmy40tbverlfZ ~]# pam_tally2 -r -u root    ###解鎖之后隨即失敗次數歸零,此時即可登錄系統
Login           Failures Latest failure     From
root                0    
[root@iZ2zee7gmy40tbverlfZ ~]#

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 FTP 【530 login incorrect】登錄失敗處理 mysql密碼策略和登錄失敗處理 Linux登錄失敗:Too many logins for 'username'. linux安全 設置登錄失敗次數后,拒絕登錄 Linux未配置賬戶登錄失敗鎖定策略 linux定時執行python腳本的方法以及失敗不執行的處理方法 centos7用戶多次登錄失敗被鎖定、sudo權限管理、添加用戶報錯處理 UnityHub 登錄失敗 Heroku登錄失敗 linux下設置賬戶鎖定閾值:登錄失敗n次,多長時間后解鎖重新登錄
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM