كيفية قفل حسابات المستخدمين بعد محاولات تسجيل الدخول الفاشلة

سيوضح هذا الدليل كيفية قفل حساب مستخدم النظام بعد عدد محدد من محاولات تسجيل الدخول الفاشلة CentOS و RHEL و Fedora التوزيعات. هنا ، ينصب التركيز على فرض أمان الخادم البسيط عن طريق قفل حساب المستخدم بعد عدد متتالي من المصادقة غير الناجحة.

اقرأ أيضا: استخدم Pam_Tally2 لقفل وإلغاء تأمين محاولات تسجيل الدخول الفاشلة لـ SSH

يمكن تحقيق ذلك باستخدام ملف pam_faillock الوحدة النمطية التي تساعد على قفل حسابات المستخدمين مؤقتًا في حالة فشل محاولات المصادقة المتعددة والاحتفاظ بسجل لهذا الحدث. يتم تخزين محاولات تسجيل الدخول الفاشلة في ملفات لكل مستخدم في دليل tally وهو /var/run/faillock/ بشكل افتراضي.

pam_faillock وهو جزء من لينكس بام (وحدات المصادقة القابلة للتوصيل) ، وهي آلية ديناميكية لتنفيذ خدمات المصادقة في التطبيقات وخدمات النظام المختلفة والتي شرحناها بإيجاز ضمن تكوين PAM لتدقيق تسجيل دخول المستخدم نشاط القشرة.

كيفية قفل حسابات المستخدمين بعد عمليات المصادقة الفاشلة المتتالية

يمكنك تكوين الوظيفة المذكورة أعلاه في ملف /etc/pam.d/system-auth و /etc/pam.d/password-auth الملفات ، عن طريق إضافة الإدخالات أدناه إلى ملف المصادقة قسم.

المصادقة مطلوبة pam_faillock.so رفض التدقيق الصامت المسبق = 3 unlock_time = 600. المصادقة [افتراضي = يموت] pam_faillock.so رفض تدقيق حقوق المصادقة = 3 unlock_time = 600. 

أين:

  • تدقيق - تمكن المستخدم من تدقيق.
  • ينكر - تستخدم لتحديد عدد المحاولات (3 في هذه الحالة) ، وبعد ذلك يجب قفل حساب المستخدم.
  • unlock_time - يحدد الوقت (300 ثواني = 5 دقائق) والتي يجب أن يظل الحساب مغلقًا لها.

لاحظ أن ترتيب هذه الخطوط مهم جدًا ، حيث يمكن أن تتسبب التكوينات الخاطئة في قفل جميع حسابات المستخدمين.

ال المصادقة يجب أن يحتوي القسم في كلا الملفين على المحتوى أدناه مرتبة بهذا الترتيب:

المصادقة مطلوبة pam_env.so. المصادقة مطلوبة pam_faillock.so رفض التدقيق الصامت المسبق = 3 unlock_time = 300
المصادقة كافية pam_unix.so nullok try_first_pass. المصادقة [الافتراضي = يموت] pam_faillock.so رفض تدقيق حقوق المصادقة = 3 unlock_time = 300
مطلوب المصادقة pam_succeed_if.so uid> = 1000 quiet_success. مطلوب المصادقة pam_deny.so. 

افتح الآن هذين الملفين مع اختيارك للمحرر.

# vi /etc/pam.d/system-auth. # vi /etc/pam.d/password-auth 

الإدخالات الافتراضية في المصادقة قسم كلا الملفين يبدو هكذا.

#٪ PAM-1.0. # هذا الملف تم إنشاؤه تلقائيًا. # سيتم إتلاف تغييرات المستخدم في المرة التالية التي يتم فيها تشغيل authconfig. المصادقة مطلوبة pam_env.so. مصادقة كافية pam_fprintd.so. المصادقة كافية pam_unix.so nullok try_first_pass. مطلوب المصادقة pam_succeed_if.so uid> = 1000 هادئ. مطلوب المصادقة pam_deny.so. 

بعد إضافة الإعدادات أعلاه ، يجب أن تظهر على النحو التالي.

#٪ PAM-1.0. # هذا الملف تم إنشاؤه تلقائيًا. # سيتم إتلاف تغييرات المستخدم في المرة التالية التي يتم فيها تشغيل authconfig. المصادقة مطلوبة pam_env.so. المصادقة مطلوبة pam_faillock.so رفض التدقيق الصامت المسبق = 3 unlock_time = 300
مصادقة كافية pam_fprintd.so. المصادقة كافية pam_unix.so nullok try_first_pass. المصادقة [الافتراضي = يموت] pam_faillock.so رفض تدقيق حقوق المصادقة = 3 unlock_time = 300
مطلوب المصادقة pam_succeed_if.so uid> = 1000 هادئ. مطلوب المصادقة pam_deny.so. 

ثم أضف الإدخال المميز التالي إلى ملف الحساب في كلا الملفين أعلاه.

الحساب مطلوب pam_unix.so. حساب كاف pam_localuser.so. حساب كافٍ pam_succeed_if.so uid <500 الهدوء. الحساب مطلوب pam_permit.so. الحساب مطلوب pam_faillock.so

كيفية قفل حساب الجذر بعد فشل محاولات تسجيل الدخول

لقفل حساب الجذر بعد محاولات المصادقة الفاشلة ، أضف ملف even_deny_root الخيار للخطوط في كلا الملفين في ملف المصادقة قسم مثل هذا.

المصادقة مطلوبة pam_faillock.so رفض التدقيق الصامت المسبق = 3 even_deny_root unlock_time = 300. المصادقة [الافتراضي = يموت] pam_faillock.so رفض تدقيق التفويض = 3 even_deny_root unlock_time = 300. 

بمجرد تكوين كل شيء. يمكنك إعادة تشغيل خدمات الوصول عن بعد مثل sshd، لتفعيل السياسة المذكورة أعلاه ، هذا إذا كان المستخدمون سيستخدمون ssh للاتصال بالخادم.

# systemctl قم بإعادة تشغيل sshd [تشغيل النظام د] # إعادة تشغيل sshd الخدمة [تشغيلSysVInit]

كيفية اختبار محاولات تسجيل الدخول الفاشلة لمستخدم SSH

من الإعدادات المذكورة أعلاه ، قمنا بتهيئة النظام لقفل حساب المستخدم بعد ذلك 3 محاولات المصادقة الفاشلة.

في هذا السيناريو ، المستخدم النعناع يحاول التبديل إلى المستخدم آرونكيليكولكن بعد 3 عمليات تسجيل الدخول غير الصحيحة بسبب كلمة مرور خاطئة ، يشار إليها بـ "طلب الاذن مرفوض"، المستخدم آرونكيليك الحساب مقفل كما هو موضح بواسطة "فشل المصادقة"من المحاولة الرابعة.

اختبار محاولات تسجيل الدخول الفاشلة للمستخدم
اختبار محاولات تسجيل الدخول الفاشلة للمستخدم

يتم إخطار المستخدم الجذر أيضًا بمحاولات تسجيل الدخول الفاشلة على النظام ، كما هو موضح في لقطة الشاشة أدناه.

رسالة محاولات تسجيل الدخول الفاشلة
رسالة محاولات تسجيل الدخول الفاشلة

كيفية عرض محاولات المصادقة الفاشلة

يمكنك رؤية جميع سجلات المصادقة الفاشلة باستخدام امتداد faillock الأداة المساعدة ، والتي تُستخدم لعرض وتعديل سجل فشل المصادقة.

يمكنك عرض محاولات تسجيل الدخول الفاشلة لمستخدم معين مثل هذا.

# faillock - المستخدم aaronkilik. 
عرض المستخدم محاولات تسجيل الدخول الفاشلة
عرض المستخدم محاولات تسجيل الدخول الفاشلة

لعرض جميع محاولات تسجيل الدخول غير الناجحة ، قم بتشغيل faillock دون أي حجة مثل:

# faillock 

لمسح سجلات فشل مصادقة المستخدم ، قم بتشغيل هذا الأمر.

# faillock --user aaronkilik --reset OR. # فشل - إعادة تعيين # مسح كافة سجلات فشل المصادقة. 

أخيرًا ، لإخبار النظام بعدم قفل حسابات مستخدم أو مستخدم بعد عدة محاولات تسجيل دخول غير ناجحة ، أضف الإدخال المميز باللون الأحمر ، أعلى المكان مباشرةً pam_faillock يسمى أولا تحت المصادقة في كلا الملفين (/etc/pam.d/system-auth و /etc/pam.d/password-auth) على النحو التالي.

ما عليك سوى إضافة نقطتين كاملتين مفصولة أسماء المستخدمين إلى الخيار مستخدم في.

المصادقة مطلوبة pam_env.so. المصادقة [النجاح = 1 افتراضي = تجاهل] pam_succeed_if.so مستخدم في tecmint: aaronkilik المصادقة مطلوبة pam_faillock.so رفض التدقيق الصامت المسبق = 3 unlock_time = 600. المصادقة كافية pam_unix.so nullok try_first_pass. المصادقة [افتراضي = يموت] pam_faillock.so رفض تدقيق حقوق المصادقة = 3 unlock_time = 600. مطلوب المصادقة pam_succeed_if.so uid> = 1000 quiet_success. مطلوب المصادقة pam_deny.so. 

لمزيد من المعلومات ، راجع pam_faillock و faillock صفحات الرجل.

# رجل بام_فايلوك. # رجل faillock 

قد ترغب أيضًا في قراءة هذه المقالات المفيدة التالية:

  1. TMOUT - Auto Logout Linux Shell عند عدم وجود أي نشاط
  2. وضع المستخدم الفردي: إعادة تعيين / استعادة كلمة مرور حساب المستخدم الجذر المنسية
  3. أفضل 5 ممارسات لتأمين خادم SSH وحمايته
  4. كيفية الحصول على تنبيهات البريد الإلكتروني لتسجيل الدخول إلى الجذر و SSH للمستخدم

هذا كل شئ! في هذه المقالة ، أوضحنا كيفية فرض أمان الخادم البسيط عن طريق قفل حساب المستخدم بعد عدد x من عمليات تسجيل الدخول غير الصحيحة أو محاولات المصادقة الفاشلة. استخدم نموذج التعليق أدناه لمشاركة استفساراتك أو أفكارك معنا.

Teachs.ru