這篇文章給大家介紹什么是ssh黑洞 pam_tally2，內(nèi)容非常詳細(xì)，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

10年積累的成都做網(wǎng)站、成都網(wǎng)站建設(shè)經(jīng)驗，可以快速應(yīng)對客戶對網(wǎng)站的新想法和需求。提供各種問題對應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識你，你也不認(rèn)識我。但先網(wǎng)站制作后付款的網(wǎng)站建設(shè)流程，更有莒縣免費網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

1、修改sshd本身配置：默認(rèn)端口 、嘗試密碼次數(shù)、禁止root、客戶端連接時間、取消DNS解析

2、系統(tǒng)級別 host allow deny

3、pam級別

4、其他工具輔助

本文介紹pam pam_tally2 模塊的用法。

前提：

/etc/ssh/sshd_config 里設(shè)置 UsePAM yes ，一般默認(rèn)允許PAM。

主要功能：

限制用戶M次密碼錯誤后鎖定該用戶N秒

/etc/pam.d 下有很多文件：

/etc/pam.d/login   中配置只在本地文本終端上做限制；

/etc/pam.d/kde    在配置時在kde圖形界面調(diào)用時限制；

/etc/pam.d/sshd    中配置時在通過ssh連接時做限制；

/etc/pam.d/system-auth   中配置凡是調(diào)用 system-auth 文件的服務(wù)，都會生效。

預(yù)警：

因為pam_tally沒有自動解鎖的功能，所以，在設(shè)置限制時，要多加注意，萬一全做了限制，而 root用戶又被鎖定了，就只能夠進(jìn)單用戶模式解鎖了，當(dāng)然，也可以添加crontab任務(wù)，達(dá)到定時自動解鎖的功能，但需要注意的是，如果在/etc /pam.d/system-auth 文件中添加了pam_tally的話，當(dāng)root被鎖定后，crontab任務(wù)會失效，所以，最好不要在system-auth 文件中添加pam_tally。

現(xiàn)在只針對sshd ：

鎖定所有用戶（包括root）2次密碼錯誤后鎖定2分鐘。

修改 /etc/pam.d/sshd 文件，添加2處文件（網(wǎng)上很多文件只添加第一處，誤人誤己）

1、必須在 #%PAM-1.0  下添加 ：  auth required pam_tally2.so deny=2 unlock_time=120 even_deny_root root_unlock_time=120   # 添加 1

2、-auth 段下 添加   account     required      pam_tally2.so   # 添加 2

$ cat /etc/pam.d/sshd
#%PAM-1.0
auth required pam_tally2.so deny=2 unlock_time=120 even_deny_root root_unlock_time=120   # 添加 1
  
auth	   required	pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
# Used with polkit to reauthorize users in remote sessions
-auth      optional     pam_reauthorize.so prepare
account     required      pam_tally2.so   # 添加 2
account    required     pam_nologin.so

account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin
# Used with polkit to reauthorize users in remote sessions
-session   optional     pam_reauthorize.so prepare

如果不限制root用戶，則可以寫成 auth required pam_tally2.so deny=M  unlock_time=N*60

解釋：

配置格式：

pam_tally2.so [file=/path/to/counter] [onerr=[fail|succeed]] [magic_root] [even_deny_root] [deny=n] [lock_time=n] [unlock_time=n]
              [root_unlock_time=n] [serialize] [audit] [silent] [no_log_info]

參數(shù)相關(guān)：

1、全局參數(shù)
file       用于指定統(tǒng)計次數(shù)存放的位置，默認(rèn)保存在/var/log/tallylog文件中；
onerr   當(dāng)意外發(fā)生時，返加PAM_SUCCESS或pam錯誤代碼，一般該項不進(jìn)行配置；
audit   如果登錄的用戶不存在，則將訪問信息寫入系統(tǒng)日志；
silent   靜默模式，不輸出任何日志信息；
no_log_info 不打印日志信息通過syslog
上面的五項全局參數(shù)，一般在使用中都不需要單獨配置。

2、認(rèn)證選項
deny  指定最大幾次認(rèn)證錯誤，如果超出此錯誤，將執(zhí)行后面的策略。如鎖定N秒，如果后面沒有其他策略指定時，默認(rèn)永遠(yuǎn)鎖定，除非手動解鎖。
lock_time  一次失敗，鎖定多長時間，按秒為單位；
unlock_time 指定認(rèn)證deny次數(shù)被鎖后，多長時間自動解鎖用戶；
magic_root 如果用戶uid＝0（即root賬戶或相當(dāng)于root的帳戶）在帳戶認(rèn)證時調(diào)用該模塊發(fā)現(xiàn)失敗時，不計入統(tǒng)計；
no_lock_time 不使用.fail_locktime項在/var/log/faillog 中記錄用戶 －－－按英文直譯不太明白，個人理解即不進(jìn)行用戶鎖定；
even_deny_root    root用戶在認(rèn)證出錯時，一樣被鎖定（該功能慎用，搞不好就要單用戶時解鎖了）
root_unlock_time  root用戶在失敗時，鎖定多長時間。該選項一般是配合even_deny_root 一起使用的。

命令行管理：

pam_tally2  查看所有用戶失敗狀態(tài)

pam_tally2 --user=root   指定查看該用戶失敗狀態(tài)  簡寫  pam_tally2  -u root

pam_tally2 --user=root  --reset   解除用戶限制      簡寫  pam_tally2  -r -u root

試驗：

請使用終端ssh命令去嘗試，xshell貌似不會顯示錯誤，只會一直要求輸入。

輸入賬號密碼后才會去驗證，不是說鎖定了都不用輸入密碼就直接報錯。

?  ~ ssh root@xxxx.com -p 5000
Password:
Account locked due to 5 failed logins
Password:
Account locked due to 6 failed logins
Password:


$ pam_tally2 -u root
Login           Failures Latest failure     From
root                6    09/14/19 12:46:33  47.93.185.255



# 重置 
# root @ web-devops-01 in /home/hlnmroot [12:46:40]
$ pam_tally2 -r -u root
Login           Failures Latest failure     From
root                6    09/14/19 12:46:33  47.93.185.255

# root @ web-devops-01 in /home/hlnmroot [12:47:28]
$ pam_tally2 -u root
Login           Failures Latest failure     From
root                0



再登陸
?  ~ ssh root@xxxx.com -p 5000
Password:
Last failed login: Sat Sep 14 12:46:33 CST 2019 from 47.93.185.255 on ssh:notty
There were 5 failed login attempts since the last successful login.
Last login: Sat Sep 14 11:59:40 2019 from 47.94.129.79

Welcome to Alibaba Cloud Elastic Compute Service !

關(guān)于什么是ssh黑洞 pam_tally2就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。