В этой статье будет показано, как заблокировать учетную запись пользователя после определенного количества неудачных попыток входа в системы CentOS, RHEL и Fedora. Здесь основное внимание уделяется обеспечению простой защиты сервера путем блокировки учетной записи пользователя после последовательного числа неудачных аутентификаций.
Данная цель может быть достигнута с помощью модуля pam_faillock, который помогает временно блокировать учетные записи пользователей в случае нескольких неудачных попыток аутентификации и ведет запись этого события в журнал (лог). Неудачные попытки входа в систему хранятся в файлах-пользователях в каталоге tally, который по умолчанию соответствует /var/run/faillock/.
pam_faillock является частью Linux PAM (Pluggable Authentication Modules), динамического механизма для реализации служб аутентификации в приложениях и различных системных сервисах.
Как заблокировать учетные записи пользователей после нескольких неудачных проверок подлинности?
Вы можете настроить вышеуказанные функции в файлах /etc/pam.d/system-auth и /etc/pam.d/password-auth, добавив записи ниже в раздел auth.
Куда:
- auth — позволяет проводить аудит пользователей.
- deny — используется для определения количества попыток (в этом случае 3), после чего учетная запись пользователя должна быть заблокирована.
- unlock_time — устанавливает время (300 секунд = 5 минут), для которого учетная запись должна оставаться заблокированной.
Обратите внимание, что порядок этих строк очень важен, неправильные конфигурации могут привести к блокировке всех учетных записей пользователей.
Секция auth в обоих файлах должна содержать нижеуказанный контент в следующем порядке:
Теперь откройте эти два файла с помощью вашего редактора.
Записи по умолчанию в разделе auth оба файла выглядят следующим образом.
После добавления вышеуказанных настроек он должен выглядеть следующим образом.
Затем добавьте следующую выделенную запись в раздел учетной записи в обоих указанных файлах.
Как заблокировать учетную запись root после неудачных попыток входа в систему
Чтобы заблокировать учетную запись root после неудачных попыток аутентификации, добавьте параметр even_deny_root в строки в обоих файлах раздела auth, как показано ниже:
После того, как вы все настроили. Вы можете перезапустить службы удаленного доступа, такие как sshd, для того, чтобы вышеуказанная политика вступила в силу, если пользователи будут использовать ssh для подключения к серверу.
Как протестировать ошибки входа пользователя в систему по SSH?
Из приведенных выше настроек мы настроили систему на блокировку учетной записи пользователя после 3 неудачных попыток аутентификации.
В этом случае пользователь username пытается переключиться на пользователя admin, но после 3 неправильных логинов из-за неправильного пароля, получает сообщени «Отказано в аутентификации», учетная запись пользователя admin заблокирована, как показано сообщением об ошибке аутентификации при четвертой попытки.
Пользователь root также уведомляется о неудачных попытках входа в систему
Как просмотреть неудачные попытки аутентификации?
Вы можете просмотреть все неудавшиеся случаи проверки подлинности с помощью утилиты faillock, которая используется для отображения и изменения журнала сбоев проверки подлинности.
Вы можете просмотреть неудачные попытки входа в систему для определенного пользователя, подобного этому:
Чтобы просмотреть все неудачные попытки входа в систему, запустите файл faillock без каких-либо аргументов:
Чтобы очистить журналы ошибок аутентификации пользователя, выполните эту команду.
Или же:
Наконец, чтобы сообщить системе не блокировать учетные записи пользователей или пользователей после нескольких неудачных попыток входа, добавьте запись, отмеченную красным цветом, чуть выше, где pam_faillock сначала вызывается в разделе auth в обоих файлах (/etc/pam.d/ system-auth и /etc/pam.d/password-auth) следующим образом.
Просто добавьте полное имя пользователя, разделенное двоеточиями, к пользователю.
Для получения дополнительной информации смотрите страницы man pam_faillock и faillock.
Вот и все! В этой статье мы продемонстрировали, как обеспечить безопасность сервера, заблокировав учетную запись пользователя после того, как было выполнено некоторое количество неудачных попыток аутентификации.
Спасибо за уделенное время на прочтение статьи!
Если возникли вопросы, задавайте их в комментариях.
Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!
Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).
Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!
- Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
- Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
- Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.
- Проведем вечерние онлайн-лекции на нашей платформе.
- Согласуем с вами удобное время для практик.
- Если хотите индивидуальный график — обсудим и реализуем.
- Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
- Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.
- отредактировать или создать с нуля резюме;
- подготовиться к техническим интервью;
- подготовиться к конкурсу на понравившуюся вакансию;
- устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
