Bloqueando e desbloqueando falhas de login em SSH usando o pam_tally2

Como configurar o bloqueio automático de login em caso de falhas. Com esse pequeno tutorial você poderá usar um módulo chamado pam_tally2 para bloquear, por exemplo, tentativas de brute force no seu servidor. Este tutorial é focado em distribuições Red Hat/CentOS, porém pode ser facilmente adaptado a qualquer distribuição.

[ Hits: 9.514 ]

Por: Humberto Júnior em 15/01/2015 | Blog: http://mundonix.wordpress.com


Testando a implementação



Feitas as configurações, vamos fazer os testes. Podemos tentar fazer uma conexão de outra máquina para nosso servidor e errar propositadamente a senha para reproduzir o resultado.

# ssh [email protected]<ip_do_servidor>
Linux: Bloqueando e Desbloqueando fahas de Login em SSH usando o pam_tally2
Utilizamos o comando pam_tally2 para fazer uma pequena auditoria no usuário:

# pam_tally2 -u testepam

Vamos obter o resultado parecido com o da imagem abaixo:
Linux: Bloqueando e Desbloqueando fahas de Login em SSH usando o pam_tally2
Para resetar o contador de acessos do usuário utilizamos a sintaxe abaixo:

# pam_tally2 -u testepam --reset
Linux: Bloqueando e Desbloqueando fahas de Login em SSH usando o pam_tally2

Fontes de pesquisa

Agradeço a leitura e espero ter ajudado.

Seguem abaixo algumas fontes que me ajudaram a escrever esse pequeno tutorial:
Página anterior    

Páginas do artigo
   1. Introdução
   2. O pam_tally2
   3. Testando a implementação
Outros artigos deste autor

Ubuntu 12.04 autenticando no Active Directory com Samba/Kerberos/Winbind

CoreOS no VirtualBox

Leitura recomendada

Instalando Snort e Guardian no Slackware

SECtool - Análise Local para Linux

wpa_supplicant.conf - Configuração para WPA2-PSK

Sudoers 1.8.12 - Parte IV - Manual

Instalando e configurando o BackupPC

  
Comentários
[1] Comentário enviado por azk em 16/01/2015 - 04:26h

ótimo artigo!
favoritado..
;-))

[2] Comentário enviado por fabio em 16/01/2015 - 05:34h

Bem interessante mesmo! A princípio não consegui fazer funcionar em Debian, mas assim que tiver um tempo vou ler a man page do módulo. Em Debian e derivados parece que o arquivo a ser alterado é o /etc/pam.d/login.

[3] Comentário enviado por Tacioandrade em 19/02/2015 - 04:50h


Muito interessante o pam_tall2, não conhecia essa ferramenta, sempre utilizei o fail2ban que também funciona muito bem e tem suporte a praticamente tudo que se pode imaginar, desde FTP, apache, etc, porem gostei da forma de audição dessa ferramenta, bem interessante mesmo, quando tiver um tempo vou testa-la em homologação e ver se vale a pena alterar em novos servidores que implementar ou não.

Um forte abraço e valeu pelo artigo.


Contribuir com comentário