Linux系统升级openssh后登录pam_tally2.so计数不清零问题解决

已于 2023-04-19 14:19:46 修改
阅读量6.5k 收藏 25
点赞数 6
分类专栏: 运维 文章标签: linux ssh
于 2020-07-24 19:22:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43863487/article/details/107567468
版权

Linux系统pam_tally2.so登陆成功后失败计数不清零问题解决

问题描述

linux系统(影像版本包括centos6.x,centos7.x和ubuntu14.04、16.04、18.04等使用pam_tally2策略限制ssh登录失败次数的系统)手动升级openssh到8.0p1版本后,修改/etc/pam.d/sshd pam策略配置文件添加限制用户ssh登录失败锁定次数的策略:

auth  required  pam_tally2.so onerr=fail deny=10 unlock_time=1800 even_deny_root root_unlock_time=1800

即限制用户使用ssh登录时,密码输入错误10后锁定当前用户,1800秒后解锁,用户可以再次登录。
配置之后发现无论用户密码输入对错,使用pam_tally2 --user 用户名 命令查看当前的登录失败次数都会增加,即使登陆成功,该计数器也不会清零。导致用户登录10次之后,每次都要等30分钟才能再次登录。
以centos7.6为例,添加策略后的/etc/pam.d/sshd文件如下:
修改后限制用户登录的sshd pam配置
注意:是手动从源码安装openssh 8.0p1后才出现的该问题,手动编译安装时configure指定了–with-pam参数,且ssh服务配置/etc/ssh/sshd_config配置了 UsePAM yes。可能是openssh升级后版本和pam版本不匹配引起的。系统安装完自动的ssh没有发现该问题。

pam_tally2.so简介

pam_tally2.so是一个linux的用户登录计数器模块。他会维护用户尝试登录的次数,当登录成功时重置计数器,当尝试登录失败次数过多时阻止登录。
( This module maintains a count of attempted accesses, can reset count on success, can deny access if too many attempts fail.)。
它包括pam_tally2.sopam_tally2两部分,前者是一个PAM 模块,后者是一个独立的程序用来查看计数和手动清除计数信息。
pam_tally2计数信息
其他详细信息不再这里说明,有兴趣的朋友自行搜索……

问题关键

pam_tally2.so 模块每次在用户登录,进行pam策略检查被调用时首先会对该登录用户的计数加一,然后正常的话会在用户登录成功后的调用pam_setcert 重置计数。
(Authentication phase first increments attempted login counter and checks if user should be denied access. If the user is authenticated and the login process continues on call to pam_setcred(3) it resets the attempts counter.)
但是实际上在用户登录成功后,计数器未能被清零,导致用户每次登录计数器都会加1.

问题解决

目前我使用如下方法解决该问题:
再次修改/etc/pam.d/sshd 文件,在account 配置的首行添加如下配置:

account    required    pam_tally2.so

修改后的sshd pam配置
注意: 这个配置最好放在account 配置的第一行,插入的位置也会对策略产生影响。
这样在通过了auth的检查,用户登录成功后account的pam_tally2 配置会将用户当前的计数重置为0,不再产生累加问题。
登录成功后计数清零
用户登录成功后,当前用户登录计数器清零。

centos8.x

在centos8.x 系列系统中,pam策略不再使用pam_tally2.so,改为使用pam_faillock.so 模块,使用方法和前者类似,同样可以使用faillock命令查看用户登录失败的记录。
但是在限制用户进行ssh登录的配置时,修改的是/etc/pam.d/password-auth 和 /etc/pam.d/system-auth 文件。
可是参考以下修改脚本:

sed -i '4 iauth        required                                     pam_faillock.so deny=10 unlock_time=1800 even_deny_root root_unlock_time=1800' /etc/pam.d/password-auth
sed -i '/auth.*sufficient.*pam_unix.so.*/aauth        [default=die]                                pam_faillock.so  authfail  audit  deny=10 even_deny_root unlock_time=1800' /etc/pam.d/password-auth
sed -i '/account.*required.*pam_permit.so/aaccount     required                                     pam_faillock.so' /etc/pam.d/password-auth

sed -i '4 iauth        required                                     pam_faillock.so deny=10 unlock_time=1800 even_deny_root root_unlock_time=1800' /etc/pam.d/system-auth
sed -i '/auth.*sufficient.*pam_unix.so.*/aauth        [default=die]                                pam_faillock.so  authfail  audit  deny=10 even_deny_root unlock_time=1800' /etc/pam.d/system-auth
sed -i '/account.*required.*pam_permit.so/aaccount     required                                     pam_faillock.so' /etc/pam.d/system-auth

配置文件如下:
system-auth文件:
system-auth
password-auth文件:password-auth

空巢青年_rui
关注
  • 6
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux使用pam_tally2.so模块限制登录失败锁定时间
weixin_34021089的博客
04-24 4782
关于PAM Linux-PAM (Pluggable Authentication Modules for Linux)可插拔认证模块。 https://www.cnblogs.com/klb561/p/9236360.html #vi /etc/pam.d/system-auth 增加auth required pam_tally2.so deny=6 onerr=fail no...
配置pam_tally.so导致的su故障
panbuhei
07-28 7051
配置pam_tally.so(口令认证失败次数)后 vim /etc/pam.d/system-auth 添加 auth required pam_tally.so deny=5 unlock_time=600 account required pam_tally.so su命令的密码验证一直失败
安全迎检之服务器相关配置
qq_38222067的博客
11-22 423
pam_tally2模块分为两部分,一部分是pam_tally2.so,另一部分是pam_tally2。它可以显示用户登录尝试次数,单独设置计数,也可清除计数,解锁所有用户登录锁定。3、把始终允许的IP填入 /etc/hosts.allow ,这很重要!2、从这些行中提取IP地址,如果次数达到5次则将该IP写到 /etc/hosts.deny中。1、读取/var/log/secure,查找关键字 Failed。4、查看当前对外开放的端口(第三步执行后才可生效)3、对端口操作后,需要执行重载命令使其生效。
操作系统账户锁定(pam_tally, faillock,usermod,expires)
最新发布
wangchao2679的博客
05-16 1206
pam_tally, faillock,usermod,expires
触发pam_tally2模块机制导致登录失败
IT民工金鱼哥,专注运维技术。
04-18 4596
在生产环境中,如果设置了pam_tally2模块限制,则需要了解好其限制的规则情况,也要知道触发规则出现不能登录时应该如何进行处置。本文以两天所遇到的情景而进行分析和讲述,希望对看到本文的小伙伴有所启示。
多次登录失败用户被锁定及使用Pam_Tally2解锁
qq_41847721的博客
10-31 1万+
linux系统中,用户多次登录失败会被锁定,一段时间内将不能再登录系统,这是一般会用到Pam_Tally2进行账户解锁。 了解PAM Linux-PAM (Pluggable Authentication Modules for Linux)可插拔认证模块。Linux-PAM是一套适用于Linux的身份验证共享库系统,它为系统中的应用程序或服务提供动态身份验证模块支持。在Linux中,PAM是可动态配置的,本地系统管理员可以自由选择应用程序如何对用户进行身份验证。PAM应用在许多程序与服务上,比如登录程序
Ubuntu 22报错:PAM unable to dlopen(pam_tally2.so)
高性价比服务器就选:蓝易云
04-06 331
因此,当你遇到"PAM unable to dlopen(pam_tally2.so)"这个错误时,你需要做的就是删除对pam_tally2的引用,并转向使用pam_faillock模块。总的来说,解决这个问题的步骤是:确认你的系统中是否还存在pam_tally2.so文件,如果存在,则删除对它的引用;然后编辑/etc/pam.d/common-auth文件,注释掉含有pam_tally2的行,并添加使用pam_faillock的行;首先,你需要确认你的系统中是否还存在pam_tally2.so这个文件。
Linux安全策略配置-pam_tally2身份验证模块
am540的博客
05-21 7138
文章目录关于PAMPAM身份验证配置文件PAM配置文件语法格式PAM模块接口(模块管理组)PAM控制标志PAM配置方法PAM身份验证安全配置实例一、强制使用强密码(用户密码安全配置)pam_tally2 -u username -r --resetpam_tally2 -u usernameusermod -a -G wheel usernamecp /etc/securetty /etc/securetty.savedecho "" >/etc/securettyrpm -ivh https://m
openssh-8.4p1_rpm_package.tar.gz
12-15
RPM(Red Hat Package Manager)是Linux发行版如CentOS、Fedora等常用的软件包管理系统,方便用户安装、升级和管理软件。 在这个压缩包中,我们可以找到四个不同的 RPM 软件包: 1. `openssh-debuginfo-8.4p1-1....
openssh-9.0p1_redhat 7.x.zip
04-09
最新的openssh 9.0p1 rpm安装包,适用于redhat 7.x操作系统。 基于redhat 7.9操作系统编译成rpm包 备份pam.d/sshd文件: cp /etc/pam.d/sshd /etc/pam.d/sshdbak 安装前,可以多开几个ssh窗口,也可以开启telnet服务...
Linux系统中OpenSSH的安装配置.rar_linux 配置_openssh_ssh
09-21
Linux系统中,OpenSSH(Open Source Secure SHell)是一个用于网络服务的安全协议,它提供了在不安全的网络上进行安全远程登录和其他网络服务的功能。OpenSSH包括了SSH客户端和服务器,以及相关的加密密钥管理工具...
openssh-9.0p1-1.el7.x86_64.tar.gz
09-25
openssh-9.0p1-1.el7.src.rpm openssh-9.0p1-1.el7.x86_64.rpm openssh-askpass-9.0p1-1.el7.x86_64.rpm openssh-askpass-gnome-9.0p1-1.el7.x86_64.rpm openssh-clients-9.0p1-1.el7.x86_64.rpm openssh-debuginfo-...
linux7升级到 openssl3.0.2 openssh8.9.p1
04-06
linux7升级到 openssl3.0.2 openssh8.9.p1 linux7升级到 openssl3.0.2 openssh8.9.p1 linux7升级到 openssl3.0.2 openssh8.9.p1 linux7升级到 openssl3.0.2 openssh8.9.p1 linux7升级到 openssl3.0.2 openssh8.9...
linux设置登录失败处理功能(密码错误次数限制、pam_tally2.so模块)和操作超时退出功能(/etc/profile)
热门推荐
hjxloveqsx的博客
02-13 1万+
linux设置登录失败处理功能(密码错误次数限制、pam_tally2.so模块)和操作超时退出功能(/etc/profile)
pam_tally.so模块详细介绍
小庄往左走
03-17 8568
pam_tally.so模块详细介绍 来源: ChinaUnix博客  日期: 2009.06.27 00:21 (共有0条评论) 我要评论 pam_tally - login counter (tallying) modulepam_tally.so [ file=/path/to/counter ] [
linux用户解锁pam_tally,多次登录失败用户被锁定及使用Pam_Tally2解锁
weixin_30979229的博客
04-28 7091
linux系统中,用户多次登录失败会被锁定,一段时间内将不能再登录系统,这是一般会用到Pam_Tally2进行账户解锁。了解PAMLinux-PAM (Pluggable Authentication Modules for Linux)可插拔认证模块。Linux-PAM是一套适用于Linux的身份验证共享库系统,它为系统中的应用程序或服务提供动态身份验证模块支持。在Linux中,PAM是可动态...
kali2022基于PAM实现登录限制,即使密码正确也登录不了 pam.tally2模块faillock模块
weixin_46479834的博客
10-05 2530
linuxssh爆破攻击,在使用pam_tally2模块配置密码错误登录次数时,即使密码正确依然登录不上的解决方法
升级opensshssh登录不了_补丁升级centos7.4升级openssh7.4至7.9
05-27
如果您升级了OpenSSH后无法登录,可能是因为您的SSH密钥不再与新版本的OpenSSH兼容。您可以尝试以下步骤解决问题: 1. 从备份中恢复旧版本的OpenSSH,并重新启动SSH服务。如果您没有备份,请跳过此步骤。 2. 如果您使用SSH密钥进行身份验证,请尝试重新生成SSH密钥。请注意,此操作将使旧SSH密钥无法使用。在生成新密钥之前,请备份旧密钥。 3. 检查您的SSH配置文件(/etc/ssh/sshd_config)是否正确。请确保您的配置文件与新版本的OpenSSH兼容。您可以在OpenSSH官方网站上找到最新的配置文件示例。 4. 如果您使用的是防火墙,请确保您已将SSH端口打开。默认情况下,SSH端口为22。 5. 如果问题仍然存在,请尝试降级回旧版本的OpenSSH,并寻求其他解决方案。 希望这些步骤能够帮助您解决问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值