Я хотел бы ограничить количество повторных попыток отказа на моей машине Fedora до 5. Я думаю, что смогу добиться этого с помощью PAM. Но не смог этого сделать.
Я сослался на эту статью, чтобы сделать это
http://www.puschitz.com/SecuringLinux.shtml
Пожалуйста, предоставьте предложения
Вам может быть интересно fail2ban.
Просто измените файл / etc / ssh / sshd_config; Добавить
MaxAuthTries 5
и перезапустите sshd.
Я использую правило iptables, которое ограничивает количество подключений по SSH не более 10 в минуту. После 10 подключений (или попыток) новые входящие подключения с этого IP-адреса отбрасываются, что обычно достаточно для того, чтобы потенциальные взломщики ушли.
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --rttl --name SSH -j DROP
Еще один динамический блокировщик соединений, основанный на неудачных попытках входа в систему, - это DenyHosts. Он работает аналогично fail2ban, но специально нацелен на попытки входа в систему через ssh. В последний раз, когда я настраивал его, мне было очень легко настроить его.
Нет оправдания тому, что сервер будет принимать множество неудачных попыток входа с того же IP-адреса или в течение определенного периода времени! Это просто неаккуратное управление. (Или, можно утверждать, неаккуратный код сервера Linux. :-)
У меня есть несколько скриптов Python на моих выделенных серверах LAMP, которые делают это и многое другое. У меня также есть несколько записей IPTABLES, которые работают намного быстрее для определенных портов.
Один раз в минуту (задание cron) несколько скриптов Python сканируют несколько файлов журнала на предмет вредоносной активности (например, фразы «неверный пароль» или «неизвестный пользователь»). IP-адрес, по которому возникла ошибка, временно блокируется (обычно на 2 недели). Это работает не только для неудачных попыток входа в систему SSH, но и для многих других злонамеренных атак, таких как неудачные попытки входа в электронную почту или попытки заставить сервер рассылать спам.
Публиковать здесь полное решение слишком сложно, но приведенное выше должно заставить чьи-то клетки мозга работать в правильном направлении.