Вопрос или проблема
Не удается заставить RH9 блокировать пользователя на определенное время после трех неудачных попыток SSH-входа. Я изменил /etc/ssh/ssh_config, включив UsePAM yes и добавив следующее содержимое в следующие файлы. Я менял порядок, но безуспешно. Есть какие-либо предложения?
/etc/pam.d/system-auth /etc/pam.d/password-auth
auth required pam_faillock.so preauth silent audit deny=3 unlock_time=1200 auth [default=die] pam_faillock.so
account required pam_faillock.so
Ответ или решение
Для решения проблемы с блокировкой пользователя после неудачных попыток входа в систему SSH на Red Hat Enterprise Linux 9, важно правильно настроить Pluggable Authentication Modules (PAM). Давайте подробно разберем ваши настройки и предложим шаги для их корректировки.
Подробный Анализ
1. Понять Суть Настройки
Для блокировки пользователя после нескольких неудачных попыток требуется правильно конфигурировать файлы PAM:
- /etc/pam.d/system-auth
- /etc/pam.d/password-auth
Эти файлы определяют политику аутентификации системы. Вы используете pam_faillock.so, чтобы ограничить количество неудачных попыток входа.
2. Ваша Текущая Конфигурация
Ваш код конфигурации:
auth required pam_faillock.so preauth silent audit deny=3 unlock_time=1200
auth [default=die] pam_faillock.so
account required pam_faillock.so- auth required pam_faillock.so preauth…: Эта строка преднамеренно проверяет неудачные попытки перед полноценной аутентификацией.
- auth [default=die] pam_faillock.so: Настраивает аутентификацию, чтобы заблокировать дальнейшую аутентификацию, если предыдущая строка дала ошибочный результат.
- account required pam_faillock.so: фиксирует факт неудачных попыток и тем самым поддерживает учетный механизм.
Развернутые Рекомендации
Проверьте Настройки PAM
-
Порядок Строк: Убедитесь, что порядок строк соответствует документации RHEL и рекомендациям по безопасности. Попробуйте переставить строки следующим образом:
auth required pam_faillock.so preauth silent audit deny=3 unlock_time=1200 auth sufficient pam_unix.so auth [default=die] pam_faillock.so authfail audit -
Включение PAM в SSH: Вы упомянули, что включили
UsePAM yesв/etc/ssh/sshd_config. Проверьте, что это действительно так и что демон SSH перезапущен командойsystemctl restart sshd.
Проверка и Диагностика
- Логи и Диагностика: Изучите вывод команд, таких как
journalctl -xeи/var/log/secure, чтобы найти возможные ошибки конфигурации PAM. - Проверка Модулей: Убедитесь, что все необходимые модули PAM установлены и доступны для системы. Для этого выполните
rpm -qa | grep pam.
Проверка Работоспособности
- Тестирование: Попробуйте выполнить несколько неудачных попыток входа и проверьте, фиксируются ли они командой
faillock --user <username>. - Изменение Временных Интервалов: Если проблема сохраняется, попробуйте изменить временные интервалы и количество попыток, чтобы сузить источник проблемы.
Заключение
Настройка PAM для блокировки пользователей после неудачных попыток входа требует внимательного анализа логов и правильной последовательности конфигурации. Следуя предложенным шагам и методам диагностики, вы сможете устранить текущие проблемы и повысить безопасность системы. Если проблема сохраняется, рассмотрите возможность обращения к технической поддержке Red Hat для получения специализированного решения.