Recherche de site Web

Utilisez Pam_Tally2 pour verrouiller et déverrouiller les tentatives de connexion SSH ayant échoué

Le module pam_tally2 est utilisé pour verrouiller les comptes d'utilisateurs après un certain nombre de tentatives de connexion SSH infructueuses au système. Ce module conserve le décompte des tentatives d'accès et du trop grand nombre de tentatives échouées.

Le module pam_tally2 est composé de deux parties : l'une est pam_tally2.so et l'autre est pam_tally2. Il est basé sur le module PAM et peut être utilisé pour examiner et manipuler le fichier du compteur. Il peut afficher le nombre de tentatives de connexion des utilisateurs, définir des comptes sur une base individuelle, déverrouiller tous les comptes d'utilisateurs.

Le module pam_faillock remplace les modules pam_tally et pam_tally2 qui sont obsolètes dans RHEL 7 et RHEL 8. Il offre plus de flexibilité et d'options que les deux. modules.

Par défaut, le module pam_tally2 est déjà installé sur la plupart des distributions Linux et il est contrôlé par le package PAM lui-même. Cet article explique comment verrouiller et déverrouiller les comptes SSH après avoir atteint un certain nombre de tentatives de connexion infructueuses.

Comment verrouiller et déverrouiller des comptes d'utilisateurs

Utilisez le fichier de configuration « /etc/pam.d/password-auth » pour configurer les accès aux tentatives de connexion. Ouvrez ce fichier et ajoutez-y la ligne de configuration AUTH suivante au début de la section « auth ».

auth        required      pam_tally2.so  file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200

Ensuite, ajoutez la ligne suivante à la section « compte ».

account     required      pam_tally2.so
Paramètres
  1. file=/var/log/tallylog – Le fichier log par défaut est utilisé pour conserver le nombre de connexions.
  2. deny=3 – Refuser l'accès après 3 tentatives et verrouiller l'utilisateur.
  3. even_deny_root – La stratégie s'applique également à l'utilisateur root.
  4. unlock_time=1200 – Le compte sera verrouillé jusqu'à 20 minutes. (supprimez ces paramètres si vous souhaitez verrouiller définitivement jusqu'au déverrouillage manuel.)

Une fois que vous avez terminé la configuration ci-dessus, essayez maintenant de tenter 3 tentatives de connexion infructueuses au serveur en utilisant n'importe quel « nom d'utilisateur ». Après avoir effectué plus de trois tentatives, vous recevrez le message suivant.

[root@tecmint ~]# ssh [email 
[email 's password:
Permission denied, please try again.
[email 's password:
Permission denied, please try again.
[email 's password:
Account locked due to 4 failed logins
Account locked due to 5 failed logins
Last login: Mon Apr 22 21:21:06 2013 from 172.16.16.52

Maintenant, vérifiez ou vérifiez le compteur que l'utilisateur tente avec la commande suivante.

[root@tecmint ~]# pam_tally2 --user=tecmint
Login           Failures  Latest    failure     From
tecmint              5    04/22/13  21:22:37    172.16.16.52

Comment réinitialiser ou déverrouiller le compte utilisateur pour réactiver l'accès.

[root@tecmint pam.d]# pam_tally2 --user=tecmint --reset
Login           Failures  Latest    failure     From
tecmint             5     04/22/13  17:10:42    172.16.16.52

Vérifiez que la tentative de connexion est réinitialisée ou déverrouillée

[root@tecmint pam.d]# pam_tally2 --user=tecmint
Login           Failures   Latest   failure     From
tecmint            0

Le module PAM fait partie de toutes les distributions Linux et la configuration fournie devrait fonctionner sur toutes les distributions Linux. Faites « man pam_tally2 » depuis la ligne de commande pour en savoir plus.

Lire aussi :

  1. 5 conseils pour sécuriser et protéger le serveur SSH
  2. Bloquer les attaques SSH Brute Force à l'aide de DenyHosts