Sziasztok!
Azt kellene megoldanom, hogy ha egy felhasználó ssh-n be akar lépni adott szerverre, és 3 alkalommal elgépeli a jelszavát, akkor a rendszer adott időre (vagy örökre), kitiltsa.
Ezt hogyan tudom megvalósítani?
Redhat Enterprise Linux 5.4 lenne az oprendszer.
Előre is köszönöm a válaszokat!
msandor
[UPDATE1]
- kiderült, hogy nem 3, hanem 5 alkalommal téveszthet, ez részlet kérdés (nem kihívás, ha már megvan a módszer)
- az is kiderült, hogy nemcsak ssh-n, hanem konzolon is figyelni kell a tévesztést, tehát az sshd, illetve fail2ban trükközés mindjárt ki is esett
[/UPDATE1]
###############
A megoldás:
- Szúrjuk be az alábbi sort az ”/etc/pam.d/system-auth” elejére:
auth required pam_tally.so deny=5
- a lockolt user aktiválása
# faillog -u USERNAME -r
- 5636 megtekintés
Hozzászólások
----------------------------------
feel the beat - it's everywhere!
- A hozzászóláshoz be kell jelentkezni
fail2ban
--
Imperare sibi maximum imperium est.
- A hozzászóláshoz be kell jelentkezni
Neméér ilyen gyorsan.
--
Nem az erős, aki sosem esik el, hanem az, aki mindig fel tud állni!
- A hozzászóláshoz be kell jelentkezni
+1
Évek óta ezt használom.
___________________________________
"Bízzál Istenben és mentsél rendszeresen!"
- A hozzászóláshoz be kell jelentkezni
én is ezt használom, de önmagában nem tud permaban-t (amit OP esetleg szeretne). azt egy külső megoldással kell megoldani.
----------------------------------
feel the beat - it's everywhere!
- A hozzászóláshoz be kell jelentkezni
Szerintemm tud az, csak ki kell szedni a konfigurációs fájl unban részét hozzá. ;)
___________________________________
"Bízzál Istenben és mentsél rendszeresen!"
- A hozzászóláshoz be kell jelentkezni
szerintem az csak rebootig jó, mivel nem menti a szabályokat iptablesbe.
----------------------------------
feel the beat - it's everywhere!
- A hozzászóláshoz be kell jelentkezni
Egy iptables-save parancs lefuttatása leállításkor sokat tudna segíteni ezen.
cat iptables-config
# Additional iptables modules (nat helper)
# Default: -empty-
#IPTABLES_MODULES="ip_nat_ftp"
# Save current firewall rules on stop.
# Value: yes|no, default: no
#IPTABLES_SAVE_ON_STOP="no"
# Save current firewall rules on restart.
# Value: yes|no, default: no
#IPTABLES_SAVE_ON_RESTART="no"
# Save (and restore) rule counter.
# Value: yes|no, default: no
#IPTABLES_SAVE_COUNTER="no"
# Numeric status output
# Value: yes|no, default: no
#IPTABLES_STATUS_NUMERIC="no"
___________________________________
"Bízzál Istenben és mentsél rendszeresen!"
- A hozzászóláshoz be kell jelentkezni
ezért mondtam, hogy a fail2ban ezt alapból nem tudja, ezt külső megoldással kell megoldani... nemtom mit kötekedsz velem :)
----------------------------------
feel the beat - it's everywhere!
- A hozzászóláshoz be kell jelentkezni
Részemről szó sem volt kötekedésről. Inkább a topiknyitónak adtuk meg így most már a teljes megoldást. :)
___________________________________
"Bízzál Istenben és mentsél rendszeresen!"
- A hozzászóláshoz be kell jelentkezni
hát az túlzás, mert ő nem ilyen megoldást akar. ő nem ip-t, hanem user-t akar tiltani.
----------------------------------
feel the beat - it's everywhere!
- A hozzászóláshoz be kell jelentkezni
köszi, meg fogom nézni
--
by Mikul@s
- A hozzászóláshoz be kell jelentkezni
megnéztem a fail2bant, nekem tetszik is, de nem jó céges környezetbe, ugyanis ha egy terminál szerverről be akar puttyolni "Béla", és 5 alkalommal elbaltázza a jelszavát, akkor 10 percre kitiltja az TS IP címét, tehát senki mást se fog ssh-n beengedni :-(
megjegyzem ez a gyári Redhat csomag viselkedése, majd kicsit rá fogok guglizni
szóval inkább felhasználót kellene tiltani, ne komplett forrás címet...
--
by Mikul@s
- A hozzászóláshoz be kell jelentkezni
nos, nem pont ezt, de hasonló oldalakat már eddig is átnéztem, de nem működik a dolog, látszik a faillogban, hogy X alkalommal tévesztett az user, mégis beengedi, amint jól írja be a jelszavát :-(
--
by Mikul@s
- A hozzászóláshoz be kell jelentkezni
nos a megoldás az általad ajánlott linken volt az 5. hozzászólásban...
még egyszer köszönöm!
--
by Mikul@s
- A hozzászóláshoz be kell jelentkezni
Én pam_tally -t használok erre a célra
http://sial.org/howto/linux/pam_tally/
"Computer! Earl Grey 27 Celsius-ost !"
- A hozzászóláshoz be kell jelentkezni
Merthogy pont erre való...
- A hozzászóláshoz be kell jelentkezni
sshd_config-ban:
MaxAuthTries: Specifies the maximum number of authentication attempts permitted per connection. Once the number of failures reaches half this value, additional failures are logged. The default is 6.
MaxStartups: Specifies the maximum number of concurrent unauthenticated connections to the sshd daemon. Additional connections will be dropped until authentication succeeds or the LoginGraceTime expires for a connection. The default is 10.
Ezek nem segítenek?
- A hozzászóláshoz be kell jelentkezni
Szerintem meg pont ez kell neki :D
--
Home: Debian Lenny
Szerver: Debian Lenny
- A hozzászóláshoz be kell jelentkezni
...frissült a téma...
jövő héten szabin leszek, így kevesebb időm lesz vele foglalkozni, de ha megoldom, az archívum kedvéért ide is be fogom másolni az eredményt...
persze ha valaki már megoldotta, kérem segítsen néhány szóban
--
by Mikul@s
- A hozzászóláshoz be kell jelentkezni
Támadás esetén nem ez a biztos módszer, hogy kizárd magad a szerverről? :)
- A hozzászóláshoz be kell jelentkezni