लॉग इन के प्रयास के बाद उपयोगकर्ता खातों को कैसे बंद करें
यह मार्गदर्शिका दिखाएगा कि CentOS, RHEL और Fedora वितरण में विफल लॉगिन प्रयासों की एक निर्दिष्ट संख्या के बाद सिस्टम उपयोगकर्ता के खाते को कैसे लॉक किया जाए। यहाँ, असफल प्रमाणीकरणों की लगातार संख्या के बाद उपयोगकर्ता के खाते को बंद करके सरल सर्वर सुरक्षा को लागू करना है।
यह pam_faillock
मॉड्यूल का उपयोग करके प्राप्त किया जा सकता है जो कई विफल प्रमाणीकरण प्रयासों के मामले में अस्थायी लॉक उपयोगकर्ता खातों को मदद करता है और इस घटना का रिकॉर्ड रखता है। विफल लॉगिन प्रयास टैली निर्देशिका में प्रति-उपयोगकर्ता फ़ाइलों में संग्रहीत किए जाते हैं जो कि डिफ़ॉल्ट रूप से /var/run/faillock/
है।
pam_faillock Linux PAM का हिस्सा है ( प्लग करने योग्य प्रमाणीकरण मॉड्यूल ), अनुप्रयोगों और विभिन्न सिस्टम सिस्टम में प्रमाणीकरण सेवाओं को लागू करने के लिए एक गतिशील तंत्र जिसे हमने संक्षेप में समझाया है उपयोगकर्ता लॉगिन शेल गतिविधि का ऑडिट करने के लिए PAM को कॉन्फ़िगर करना।
लगातार विफल प्रमाणीकरण के बाद उपयोगकर्ता खातों को कैसे लॉक करें
आप नीचे दी गई प्रविष्टियों को जोड़कर उपरोक्त कार्यक्षमता को /etc/pam.d/system-auth और /etc/pam.d/password-auth फ़ाइलों में कॉन्फ़िगर कर सकते हैं। <कोड> स्थिति कोड> अनुभाग पर जाएं।
auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600 auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600
कहा पे:
audit
– enables user auditing.deny
– used to define the number of attempts (3 in this case), after which the user account should be locked.unlock_time
– sets the time (300 seconds = 5 minutes) for which the account should remain locked.
ध्यान दें कि इन पंक्तियों का क्रम बहुत महत्वपूर्ण है, गलत कॉन्फ़िगरेशन के कारण सभी उपयोगकर्ता खाते लॉक हो सकते हैं।
दोनों फाइलों में schem
अनुभाग में इस क्रम में नीचे दी गई सामग्री होनी चाहिए:
auth required pam_env.so auth required pam_faillock.so preauth silent audit deny=3 unlock_time=300 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=300 auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth required pam_deny.so
अब अपनी पसंद के संपादक के साथ इन दो फाइलों को खोलें।
# vi /etc/pam.d/system-auth # vi /etc/pam.d/password-auth
<कोड> सामान्य अनुभाग में डिफ़ॉल्ट प्रविष्टियां दोनों फाइलें इस तरह दिखती हैं।
#%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth sufficient pam_fprintd.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 1000 quiet auth required pam_deny.so
उपरोक्त सेटिंग्स को जोड़ने के बाद, यह निम्नानुसार दिखाई देना चाहिए।
#%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth required pam_faillock.so preauth silent audit deny=3 unlock_time=300 auth sufficient pam_fprintd.so auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=300 auth requisite pam_succeed_if.so uid >= 1000 quiet auth required pam_deny.so
फिर उपरोक्त हाइलाइट की गई प्रविष्टि को खाते अनुभाग में उपरोक्त दोनों फाइलों में जोड़ें।
account required pam_unix.so account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quiet account required pam_permit.so account required pam_faillock.so
फेल लॉगइन प्रयास के बाद रूट खाता कैसे लॉक करें
ऑथेंटिकेशन प्रयासों के विफल होने के बाद रूट अकाउंट को लॉक करने के लिए, इस तरह ऑरिजनल कोड> सेक्शन में दोनों फाइलों में लाइनों के लिए
even_deny_root
विकल्प जोड़ें।
auth required pam_faillock.so preauth silent audit deny=3 even_deny_root unlock_time=300 auth [default=die] pam_faillock.so authfail audit deny=3 even_deny_root unlock_time=300
एक बार जब आप सब कुछ कॉन्फ़िगर कर लेते हैं। उपरोक्त नीति को प्रभावी करने के लिए आप sshd जैसी सेवाओं को पुनः आरंभ कर सकते हैं, यदि उपयोगकर्ता सर्वर से जुड़ने के लिए ssh को नियोजित करेगा।
# systemctl restart sshd [On SystemD] # service sshd restart [On SysVInit]
एसएसएच उपयोगकर्ता का परीक्षण कैसे करें लॉगिन प्रयास विफल
उपरोक्त सेटिंग्स से, हमने 3 विफल प्रमाणीकरण प्रयासों के बाद उपयोगकर्ता के खाते को लॉक करने के लिए सिस्टम को कॉन्फ़िगर किया।
इस परिदृश्य में, उपयोगकर्ता tecmint
उपयोगकर्ता aaronkilik
पर स्विच करने का प्रयास कर रहा है, लेकिन एक गलत पासवर्ड के कारण 3 गलत लॉगिन के बाद संकेत दिया गया " अनुमति अस्वीकृत " संदेश, उपयोगकर्ता aaronkilik का खाता चौथे प्रयास से " प्रमाणीकरण विफलता " संदेश द्वारा दिखाया गया है।
रूट उपयोगकर्ता को सिस्टम पर विफल लॉगिन प्रयासों के बारे में भी सूचित किया जाता है, जैसा कि नीचे स्क्रीन शॉट में दिखाया गया है।
असफल प्रमाणीकरण प्रयास कैसे देखें
आप faillock उपयोगिता का उपयोग करके सभी विफल प्रमाणीकरण लॉग देख सकते हैं, जिसका उपयोग प्रमाणीकरण विफलता लॉग को प्रदर्शित करने और संशोधित करने के लिए किया जाता है।
आप इस तरह एक विशेष उपयोगकर्ता के लिए असफल लॉगिन प्रयास देख सकते हैं।
# faillock --user aaronkilik
सभी असफल लॉगिन प्रयासों को देखने के लिए, बिना किसी तर्क के faillock चलाएं:
# faillock
उपयोगकर्ता की प्रमाणीकरण विफलता लॉग को साफ़ करने के लिए, यह कमांड चलाएँ।
# faillock --user aaronkilik --reset OR # fail --reset #clears all authentication failure records
अंत में, सिस्टम को यह बताने के लिए कि कई असफल लॉगिन प्रयासों के बाद उपयोगकर्ता या उपयोगकर्ता के खातों को लॉक न करें, लाल रंग में चिह्नित प्रविष्टि जोड़ें, जहां pam_faillock को पहले # के तहत कहा जाता है मजबूत> अनुभाग दोनों फ़ाइलों में ( /etc/pam.d/system-auth और /etc/pam.d/password-auth ) निम्नानुसार है।
बस पूर्ण बृहदान्त्र अलग उपयोगकर्ता नाम को विकल्प उपयोगकर्ता को में जोड़ें।
auth required pam_env.so auth [success=1 default=ignore] pam_succeed_if.so user in tecmint:aaronkilik auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600 auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth required pam_deny.so
अधिक जानकारी के लिए, pam_faillock और faillock मैन पेज देखें।
# man pam_faillock # man faillock
आप इन निम्नलिखित उपयोगी लेखों को पढ़ना पसंद कर सकते हैं:
- TMOUT – Auto Logout Linux Shell When There Isn’t Any Activity
- Single User Mode: Resetting/Recovering Forgotten Root User Account Password
- 5 Best Practices to Secure and Protect SSH Server
- How to Get Root and User SSH Login Email Alerts
बस इतना ही! इस लेख में, हमने दिखाया कि कैसे गलत लॉगिन या विफल प्रमाणीकरण के प्रयासों के बाद उपयोगकर्ता के खाते को लॉक करके सरल सर्वर सुरक्षा को लागू किया जाए। अपने प्रश्नों या विचारों को हमारे साथ साझा करने के लिए नीचे दिए गए टिप्पणी फ़ॉर्म का उपयोग करें।