Utilisez Pam_Tally2 pour verrouiller et déverrouiller les tentatives de connexion SSH ayant échoué
Le module pam_tally2 est utilisé pour verrouiller les comptes d'utilisateurs après un certain nombre de tentatives de connexion SSH infructueuses au système. Ce module conserve le décompte des tentatives d'accès et du trop grand nombre de tentatives échouées.
Le module pam_tally2 est composé de deux parties : l'une est pam_tally2.so et l'autre est pam_tally2. Il est basé sur le module PAM et peut être utilisé pour examiner et manipuler le fichier du compteur. Il peut afficher le nombre de tentatives de connexion des utilisateurs, définir des comptes sur une base individuelle, déverrouiller tous les comptes d'utilisateurs.
Le module pam_faillock remplace les modules pam_tally et pam_tally2 qui sont obsolètes dans RHEL 7 et RHEL 8. Il offre plus de flexibilité et d'options que les deux. modules.
Par défaut, le module pam_tally2 est déjà installé sur la plupart des distributions Linux et il est contrôlé par le package PAM lui-même. Cet article explique comment verrouiller et déverrouiller les comptes SSH après avoir atteint un certain nombre de tentatives de connexion infructueuses.
Comment verrouiller et déverrouiller des comptes d'utilisateurs
Utilisez le fichier de configuration « /etc/pam.d/password-auth » pour configurer les accès aux tentatives de connexion. Ouvrez ce fichier et ajoutez-y la ligne de configuration AUTH suivante au début de la section « auth ».
auth required pam_tally2.so file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200
Ensuite, ajoutez la ligne suivante à la section « compte ».
account required pam_tally2.so
Paramètres
- file=/var/log/tallylog – Le fichier log par défaut est utilisé pour conserver le nombre de connexions.
- deny=3 – Refuser l'accès après 3 tentatives et verrouiller l'utilisateur.
- even_deny_root – La stratégie s'applique également à l'utilisateur root.
- unlock_time=1200 – Le compte sera verrouillé jusqu'à 20 minutes. (supprimez ces paramètres si vous souhaitez verrouiller définitivement jusqu'au déverrouillage manuel.)
Une fois que vous avez terminé la configuration ci-dessus, essayez maintenant de tenter 3 tentatives de connexion infructueuses au serveur en utilisant n'importe quel « nom d'utilisateur ». Après avoir effectué plus de trois tentatives, vous recevrez le message suivant.
[root@tecmint ~]# ssh [email
[email 's password:
Permission denied, please try again.
[email 's password:
Permission denied, please try again.
[email 's password:
Account locked due to 4 failed logins
Account locked due to 5 failed logins
Last login: Mon Apr 22 21:21:06 2013 from 172.16.16.52
Maintenant, vérifiez ou vérifiez le compteur que l'utilisateur tente avec la commande suivante.
[root@tecmint ~]# pam_tally2 --user=tecmint
Login Failures Latest failure From
tecmint 5 04/22/13 21:22:37 172.16.16.52
Comment réinitialiser ou déverrouiller le compte utilisateur pour réactiver l'accès.
[root@tecmint pam.d]# pam_tally2 --user=tecmint --reset
Login Failures Latest failure From
tecmint 5 04/22/13 17:10:42 172.16.16.52
Vérifiez que la tentative de connexion est réinitialisée ou déverrouillée
[root@tecmint pam.d]# pam_tally2 --user=tecmint
Login Failures Latest failure From
tecmint 0
Le module PAM fait partie de toutes les distributions Linux et la configuration fournie devrait fonctionner sur toutes les distributions Linux. Faites « man pam_tally2 » depuis la ligne de commande pour en savoir plus.
Lire aussi :
- 5 conseils pour sécuriser et protéger le serveur SSH
- Bloquer les attaques SSH Brute Force à l'aide de DenyHosts