Búsqueda de sitios web

Utilice Pam_Tally2 para bloquear y desbloquear intentos fallidos de inicio de sesión SSH


El módulo pam_tally2 se utiliza para bloquear cuentas de usuario después de una cierta cantidad de intentos fallidos de inicio de sesión ssh en el sistema. Este módulo mantiene el recuento de intentos de acceso y demasiados intentos fallidos.

El módulo pam_tally2 viene en dos partes, una es pam_tally2.so y otra es pam_tally2. Se basa en el módulo PAM y se puede utilizar para examinar y manipular el archivo del contador. Puede mostrar los recuentos de intentos de inicio de sesión de los usuarios, establecer recuentos de forma individual y desbloquear todos los recuentos de usuarios.

El módulo pam_faillock reemplaza los módulos pam_tally y pam_tally2 que han quedado obsoletos en RHEL 7 y RHEL 8. Ofrece más flexibilidad y opciones que los dos. módulos.

De forma predeterminada, el módulo pam_tally2 ya está instalado en la mayoría de las distribuciones de Linux y está controlado por el propio paquete PAM. Este artículo muestra cómo bloquear y desbloquear cuentas SSH después de alcanzar una cierta cantidad fallida de intentos de inicio de sesión.

Cómo bloquear y desbloquear cuentas de usuario

Utilice el archivo de configuración '/etc/pam.d/password-auth' para configurar los accesos de intentos de inicio de sesión. Abra este archivo y agregue la siguiente línea de configuración AUTH al comienzo de la sección 'auth'.

auth        required      pam_tally2.so  file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200

A continuación, agregue la siguiente línea a la sección 'cuenta'.

account     required      pam_tally2.so
Parámetros
  1. file=/var/log/tallylog: el archivo log predeterminado se utiliza para mantener el recuento de inicios de sesión.
  2. deny=3: deniega el acceso después de 3 intentos y bloquea al usuario.
  3. even_deny_root: la política también se aplica al usuario root.
  4. unlock_time=1200: la cuenta se bloqueará hasta los 20 minutos. (elimine estos parámetros si desea bloquear permanentemente hasta desbloquear manualmente).

Una vez que haya terminado con la configuración anterior, intente realizar 3 intentos fallidos de inicio de sesión en el servidor utilizando cualquier 'nombre de usuario'. Después de realizar más de 3 intentos, recibirás el siguiente mensaje.

[root@tecmint ~]# ssh [email 
[email 's password:
Permission denied, please try again.
[email 's password:
Permission denied, please try again.
[email 's password:
Account locked due to 4 failed logins
Account locked due to 5 failed logins
Last login: Mon Apr 22 21:21:06 2013 from 172.16.16.52

Ahora, verifique o verifique el contador que intenta el usuario con el siguiente comando.

[root@tecmint ~]# pam_tally2 --user=tecmint
Login           Failures  Latest    failure     From
tecmint              5    04/22/13  21:22:37    172.16.16.52

Cómo restablecer o desbloquear la cuenta de usuario para habilitar el acceso nuevamente.

[root@tecmint pam.d]# pam_tally2 --user=tecmint --reset
Login           Failures  Latest    failure     From
tecmint             5     04/22/13  17:10:42    172.16.16.52

Verifique que el intento de inicio de sesión esté restablecido o desbloqueado

[root@tecmint pam.d]# pam_tally2 --user=tecmint
Login           Failures   Latest   failure     From
tecmint            0

El módulo PAM es parte de todas las distribuciones de Linux y la configuración proporcionada debería funcionar en todas las distribuciones de Linux. Haga 'man pam_tally2' desde la línea de comando para saber más al respecto.

Lea también:

  1. 5 consejos para asegurar y proteger el servidor SSH
  2. Bloquee ataques de fuerza bruta SSH utilizando DenyHosts