اطلاعیه

بستن
هنوز اطلاعیه ای در دست نیست.

استفاده از Pam_Tally2 برای Lock کردن و Unlock کردن login های Fail شده به SSH

بستن
X
 
  • فیلتر کردن
  • زمان
  • نمایش
Clear All
پست های جدید

    استفاده از Pam_Tally2 برای Lock کردن و Unlock کردن login های Fail شده به SSH

    ماژول Pam_Tally2 برای مسدود/بلاک کردن کردن اکانت های کاربران بعد از تعداد مشخصی از login های ناموفق به ssh سرور مورد استفاده قرار میگیرد. این ماژول تعداد دسترسی های به سرور همچنین تعداد زیادی از login های fail شده را در خود نگه میدارد. این ماژول در 2 بخش میباشد. یکی pam_tally2.so و دیگری pam_tally2 که به ماژول PAM بستگی دارد و میتواند برای آزمایش و اجرای فایل های counter (شمارنده) مورد استفاده قرار گیرد.

    این ماژول میتواند برای نمایش تعداد دفعات تلاش کاربر برای لاگین همچنین تعریف تعداد روی پایه هر فرد و unblock کردن تمام user acount ها مورد استفاده قرار گیرد.
    نحوه مسدود کردن لاگین های ناموفق در لینوکس




    به صورت پیش فرض ماژول pam_tally2 روی اکثر توزیع های لینوکسی نصب میباشد و توسط پکیج خود pam کنترل میشود. این مقاله نحوه lock و unlock کردن اکانت های ssh بعد از رسیدن تعداد دفعات لاگین ناموفق به یک تعداد خاص را نمایش میدهد.



    نحوه lock و unlock کردن اکانت های کاربر :

    فایل ‘/etc/pam.d/password-auth‘ را برای کانفیگ کردن دسترسی های لاگین تغییر دهید برای این منظور این فایل را باز کرده و خط AUTH را در ابتدای بخش ‘auth‘ اضافه میکنیم :
    کد PHP:
    auth        required      pam_tally2.so  file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200 

    سپس خط زیر را به بخش ‘account‘ اضافه میکنیم :
    کد PHP:
    account     required      pam_tally2.so 

    Parameter ها :

    file=/var/log/tallylog :
    فایل پیش فرض log که برای نگه داری تعداد login استفاده میشود.

    deny=3 :
    رد کردن دسترسی بعد از 3 بار تلاش برای login و سپس قفل کردن user


    even_deny_root :
    policy را همچنین برای یوزر root اعمال میکند.


    unlock_time=1200 :
    اکانت به مدت 20 دقیقه lock خواهد شد. (اگر شما میخواهید به صورت دائمی آن را lock کنید و بعد به صورت دستی آن را unlock کنید باید این پارامتر را حذف کنید)

    بعد از اتمام تغییرات بالا میتوانید تنظیمات را با 3 بار login ناموفق به سرور و با استفاده از هر username تست کنید. بعد از 3 تلاش ناموفق به سرور شما پیغام زیر را دریافت خواهید کرد :
    کد PHP:
    [root@linux-zone ~]# ssh linuxzone@172.16.25.126
    linuxzone@172.16.25.126's password:
    Permission denied, please try again.
    linuxzone@172.16.25.126'
    s password:
    Permission deniedplease try again.
    linuxzone@172.16.25.126's password:
    Account locked due to 4 failed logins
    Account locked due to 5 failed logins
    Last login: Mon Apr 22 21:21:06 2013 from 172.16.16.52 


    اکنون تعداد دفعات login را با استفاده از دستور زیر چک و مورد بررسی قرار دهید :
    کد PHP:
    [root@linux-zone ~]# pam_tally2 --user=linuxzone
    Login           Failures  Latest    failure     From
    linuxzone              5    04
    /22/13  21:22:37    172.16.16.52 

    دستور زیر با reset یا unblock کردن اکانت کاربر دسترسی دوباره را فعال میکند :
    کد PHP:
    [root@linux-zone pam.d]# pam_tally2 --user=linuxzone --reset
    Login           Failures  Latest    failure     From
    linuxzone             5     04
    /22/13  17:10:42    172.16.16.52 

    برای چک و بررسی کردن این که آیا لاگین برای کاربر موردنظر reset و یا unblock شده دستور زیر را اجرا میکنیم :
    کد PHP:
    [root@linux-zone pam.d]# pam_tally2 --user=linuxzone
    Login           Failures   Latest   failure     From
    linuxzone            0 

    ماژول PAM بخشی از تمام توزیع های لینوکسی میباشد و تنظیمات بالا باید روی تمام توزیع های لینوکسی کار کند. برای اینکه درباره این ماژول بیشتر بدانید میتوانید از صفحه man این ماژول با استفاده از دستور ‘man pam_tally2‘ بازدید کنید.


    همچنین توصیه میشود مطالعه کنید :

    5 نمونه از بهترین روش ها برای امنیت و نگهداری سرورهای لینوکس

    نحوه فعال کردن احراز هویت دو مرحله ای هنگام ssh (توسط Google Authentication)

    ارسال ایمیل هشدار برای ادمین سیستم ها هنگام ssh کردن با یوزر root

    نمایش بنر هنگام SSH برای محافظت کردن از سرورهای لینوکس

    آموزش SSH کردن بدون پسورد با استفاده از public key در لینوکس



    امیدوارم از مطالعه این مقاله لذت کافی رو برده باشید. همچنان با ما باشید ...
    آخرین ویرایش توسط Habili; در تاریخ/ساعت 01-25-2021, 01:14 AM.

درباره انجمن منطقه لینوکسی ها

انجمن منطقه لینوکسی ها با هدف ارتقاء سطح علمی کاربران در سطح جهانی و همچنین کمک به بالا بردن سطح علمی عمومی در زمینه های تخصصی فوق پایه گذاری شده است. انجمن منطقه لینوکسی ها از طریق کارشناسان و متخصصان پاسخگوی سوالات گوناگون کاربران مبتدی یا پیشرفته میباشد تا حد امکان تلاش شده که محیطی متنوع و کاربر پسند و به دور از هرگونه حاشیه جهت فعالیت کاربران در این انجمن ایجاد شود. لذا ما به صورت مستمر برای پیشرفت کمی و کیفی محتوی و اطلاعات انجمنمان میکوشیم که این برای ما ارزشمند و حائز اهمیت است. کلیه حقوق،اطلاعات و مقالات در این انجمن متعلق به سایت منطقه لینوکسی ها میباشد، و هرگونه نسخه برداری بدون ذکر منبع مورد پیگرد قانونی خواهد شد.

شبکه های اجتماعی

ایمیل مدیریت

Habili@linux-zone.org

در حال انجام ...
X