Главная » Linux

Pam tally astra linux

На чтение 10 мин Опубликовано
Содержание
  1. Pam tally astra linux
  2. Используйте Pam_Tally2 для блокировки и разблокировки неудачных попыток входа в SSH
  3. Как заблокировать и разблокировать учетные записи пользователей
  4. Решение проблемы с копящимся faillog при использовании sudo
  5. 7 кругов ада и сброс пароля

Pam tally astra linux

Текстовые метки: astra, linux, вход, неудачен, не работает, перестал, работать, ALD, домен, пользователь

Иногда домен ALD с операционной системой Astra Linux 1.6 начинает тупить, и доменный пользователь не может залогиниться в домене со своей рабочей станции. В окне логина появляется сообщение «Вход неудачен».

Причины такого поведения, обычно, две: либо на рабочей станции не настроена синхронизация времени, и время сильно «съехало» относительно доменного сервера, либо перестал нормально работать сервис nslcd , отвечающий за работу с доменом.

Если причина в сервисе nslcd , когда после нескольких перезапусков рабочей станции пользователь так и не может зайти в домен, нужно данный сервис перезапустить (на рабочей станции, естественно). Если описанный ниже перезапуск вручную сработает, это может говорить о том, что сервис nslcd запускается раньше, чем успевает сконфигурироваться сетевой интерфейс компьютера. Для решения этой проблемы необходимо будет сделать настройки systemd-подсистемы.

Ручная перезагрузка сервиса nslcd

Если залогиниться доменным пользователем не получается, надо сделать следующее.

1. Залогиниться локальным администратором или рутом на рабочей станции. Логиниться необходимо в отдельной текстовой консоли, переключившись на нее через клавиши Ctrl+Alt+F1 из окна графического логина.

2. Перезапустить сервис командой:

3. Выйти из текстовой консоли и переключиться на графический вход по клавишам Ctrl+Alt+F7.

После этих действий вход в домен ALD должен заработать.

Чтобы заставить сервис nslcd запускаться позднее, чем конфигурируется сетевая подсистема Astra Linux, необходимо создать файл /lib/systemd/system/nslcd.service (не путать с nscd.service — это другой сервис, его название отличается на одну букву). Если таковой файл уже есть в системе, его надо отредактировать.

Содержимое файла должно быть таким:

# systemd service file for nslcd

Description=Naming services LDAP client daemon.

Здесь значимым параметром является строка ExecStartPre . Команда sleep , прописанная в данной строке, заставляет задержать запуск сервиса на указанное количество секунд. Задержку надо подобрать экспериментально. На медленных системах вместо 5 секунд можно указать 10.

После внесения изменений в данный файл, компьютер надо перезагрузить, и вход в домен ALD должен начать работать.

Локальный сброс количества неудачных попыток входа в домен ALD

Если перезапуск сервера nslcd не дает результата, возможно что счетчик неудачных входов по какой-то причине превысил допустимое значение. Причем это превышение по неведомой причине может произойти даже если пользователь ранее не входил в систему, или пытался зайти один-два раза.

Одна из возможных причин такого поведения — это использование команды sudo в каких-либо скриптах, вызываемых из QtCreator (в Astra Linux часто ведется разработка на Qt), причем разрешения NOPASSWD для таких команд в /etc/sudoers не прописано. Пользователь не видит неудачных попыток запуска sudo , но при этом неудачные попытки выполнить команду от текущего пользователя под суперпользователем увеличивают счетчик неудачных попыток входа. И после этого обычный вход в систему перестает работать.

Читайте также:  Мониторинг сервера на линукс

Внешне отличить недачный вход при проблемахс nslcd от проблем с превышением количества неудачных попыток входа никак невозможно. Просто будет появляться сообщение «Вход неудачный» и все. Поэтому для решения проблемы с входом может помочь следующий вариант действий.

1. Войти на рабочей станции в консоль под суперпользователем, нажав кнопки Ctrl+Alt+F1.

3. Переключиться на графическое окно логина Ctrl+Alt+F7 и ввести логин-пароль доменного пользователя. Вход в домен должен сработать.

  • Соответствие версий Astra Linux Смоленск и Debian, таблица версий библиотек
  • Как понять, к какой версии Astra Linux относятся файлы документации
  • Восстановление пользователя root в Astra Linux 1.6 Смоленск
  • Отключение блокировки экрана паролем в Astra Linux 1.6
  • Как отменить гашение экрана в Astra Linux 1.6 через конфиги
  • Как в Astra Linux 1.3 установить разрешение экрана через конфиги?
  • Какие пакеты ПО устанавливаются при выборе пунктов «Средства работы в сети» и «Сетевые сервисы» в инсталляторе?
  • Как прописать команды, которые должны выполниться перед появлением окна логина FLY DM
  • Как прописать команды, которые выполнятся перед стартом X-сессии
  • Как в Astra Linux 1.3 ограничить возможности рабочего стола
  • Проблема запуска скрипта на сервере ALD домена при логине пользователя с нулевой мандатной меткой
  • Как войти в домен ALD Astra Linux на рабочей станции, если вход не работает
  • Как настроить видеодрайвер в Astra Linux 1.6 для Орион ПК 103 (ПК-Э-103-02)
  • Как пользоваться мандатным флагом ccnr, чтобы не менялась мандатная метка в Astra Linux 1.6
  • Управление безопасностью ОССН с использованием мандатного управления доступом в Astra Linux
  • Мандатный контроль целостности в Astra Linux
  • Структура мандатной метки в Astra Linux 1.6 (инфографика)
  • Как предоставить доступ пользователю к COM-порту /dev/ttyS0 в ALD
  • Понижение классификационной мандатной метки в Astra Linux 1.6
  • Какие секции репозитария есть в Astra Linux
  • Как в Astra отключить монитор печати при отключении области уведомлений
  • Известные проблемные пакеты Astra Linux, которые блокируют установку обновлений и не только
  • Почему не виден ярлык на рабочем столе Astra Linux 1.6 Update 10?
  • Как включить NumLock при старте рабочего стола в Astra Linux 1.6
  • Что не работает в Astra Linux 1.6
  • Восстановление загрузчика Grub после применения обновлений в Astra Linux 1.6
  • Как выйти/разлогиниться из FLY WM — опции команды fly-wmfunc в Astra Linux 1.6
  • Как запустить SSH-сервер в Astra Linux 1.6
  • Установка обновленного ejabberd в Astra Linux 1.6 Update 10. Как выкачивать ПО из репозитариев
  • Загрузка X-сервера в Debian и Astra Linux 1.6. Какие скрипты в какие моменты времени срабатывают?
  • Как загрузить и подключить диск со средствами разработки для Astra Linux SE 1.7
  • Что означает аббревиатура МРОСЛ ДП
  • Как обозначаются версии релизов Astra Linux в файлах etc-директории

Источник

Используйте Pam_Tally2 для блокировки и разблокировки неудачных попыток входа в SSH

Модуль pam_tally2 используется для блокировки учетных записей пользователей после определенного количества неудачных попыток входа в систему через ssh. Этот модуль ведет подсчет попыток доступа и слишком большого количества неудачных попыток.

Читайте также:  Перезапуск всех служб linux

Модуль pam_tally2 состоит из двух частей: pam_tally2.so и pam_tally2. Он основан на модуле PAM и может использоваться для проверки файла счетчика и управления им. Он может отображать количество попыток входа пользователя в систему, устанавливать счетчики на индивидуальной основе, разблокировать все счетчики пользователей.

По умолчанию модуль pam_tally2 уже установлен в большинстве дистрибутивов Linux и управляется самим пакетом PAM. В этой статье показано, как заблокировать и разблокировать учетные записи SSH после достижения определенного количества неудачных попыток входа.

Как заблокировать и разблокировать учетные записи пользователей

Используйте файл конфигурации «/etc/pam.d/password-auth», чтобы настроить доступ для попыток входа. Откройте этот файл и добавьте в него следующую строку конфигурации AUTH в начале раздела «auth».

auth required pam_tally2.so file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200

Затем добавьте следующую строку в раздел «аккаунт».

account required pam_tally2.so
Параметры
  1. file=/var/log/tallylog – файл log по умолчанию используется для учета количества входов в систему.
  2. deny=3 — запретить доступ после 3 попыток и заблокировать пользователя.
  3. even_deny_root: политика также применяется к пользователю root.
  4. unlock_time=1200 — учетная запись будет заблокирована на 20 минут. (удалите эти параметры, если вы хотите навсегда заблокировать до разблокировки вручную.)

После того, как вы выполнили описанную выше настройку, попробуйте предпринять 3 неудачных попытки входа на сервер, используя любое «имя пользователя». После того, как вы предпримете более 3 попыток, вы получите следующее сообщение.

[ 's password: Permission denied, please try again. 's password: Permission denied, please try again. 's password: Account locked due to 4 failed logins Account locked due to 5 failed logins Last login: Mon Apr 22 21:21:06 2013 from 172.16.16.52

Теперь проверьте или проверьте счетчик, который пытается выполнить пользователь, с помощью следующей команды.

[ ~]# pam_tally2 --user=tecmint Login Failures Latest failure From tecmint 5 04/22/13 21:22:37 172.16.16.52

Как сбросить или разблокировать учетную запись пользователя, чтобы снова включить доступ.

[ pam.d]# pam_tally2 --user=tecmint --reset Login Failures Latest failure From tecmint 5 04/22/13 17:10:42 172.16.16.52

Убедитесь, что попытка входа сброшена или разблокирована

[ pam.d]# pam_tally2 --user=tecmint Login Failures Latest failure From tecmint 0

Модуль PAM является частью всех дистрибутивов Linux, и предоставленная конфигурация должна работать во всех дистрибутивах Linux. Выполните «man pam_tally2» из командной строки, чтобы узнать больше об этом.

Читайте также:

  1. 5 советов по безопасности и защите SSH-сервера
  2. Блокировка атак грубой силы SSH с помощью DenyHosts

Источник

Решение проблемы с копящимся faillog при использовании sudo

По умолчанию в ОС для фиксации числа неверных попыток входа пользователей применяется PAM-модуль pam_tally. Использование pam_tally в секции auth в файле /etc/pam.d/common-auth обеспечивает увеличение счетчика неверных попыток входа пользователя при начале процесса аутентификации.

В PAM-стеке sudo по умолчанию подключается common-auth:

#%PAM-1.0
@include common-auth
@include common-account
@include common-session-noninteractive

В свою очередь в common-auth вызывается модуль pam_tally:

Читайте также:  Файл подкачки linux manjaro

auth [success=ignore default=die] pam_tally.so per_user deny=10

На стадии аутентификации (auth) модуль pam_tally проверяет не заблокирован ли пользователь, и если нет, то он инкрементирует счётчик attempted login. Если аутентификация прошла успешно, то тот же самый модуль pam_tally должен сбросить этот счётчик на стадии account. Счётчик должен сбрасываться на вызове функции pam_setcred. Но в случае с sudo этого не происходит. В auth.log выводится warning:

Mar 30 14:31:41 dcm14 sudo: pam_tally(sudo:setcred): Tally underflowed for user root

Для обхода этой проблемы необходимо добавить в PAM-стек sudo ещё один вызов pam_tally:

account required pam_tally.so

Важно!
Вызов pam_tally в фазе account должен быть после его вызова в фазе auth. В нашем случае после:

Например, с таким PAN-сценарием для sudo счётчик attempted logins должен сбрасываться в случае успешной
аутентификации:

#%PAM-1.0
@include common-auth
@include common-account
@include common-session-noninteractive
account required pam_tally.so

Источник

7 кругов ада и сброс пароля

сбросить пароль так же не просто, как кажется) Астра линукс сертифицированная система, которая обладает встроенными механизмами разграничения доступа и защиты от НСД. Но все-таки она линукс и сбросить пароль можно.

Это можно сделать несколькими способами, я испробовала 2 из них.
Во-первых, при загрузке GRUB можно нажать «e» и, если Вы вспомните пароль от рута, то зайти в режим командной строки. Для этого в конце строки, начинающийся с «

, но у меня команда выдавала ошибку, а смонтировано все было уже с правами rw.
Чтобы это проверить, надо посмотреть, что показывает на

/dev/sda5 on / type ext4 (rw,relatime,errors=remount-ro,data=ordered)

Если Вы совсем не помните пароль, то можно загрузиться с диска астры, внимательно следить за загрузкой, выбрать режим восстановления (иначе через пару секунд он начнет установку), нажать пару раз «далее» и выбрать основной раздел, где лежала система
После чего согласиться со всем и зайти в терминал.

Дальше надо отредактировать файл

там найти нужного пользователя и удалить все от первого двоеточия до второго. Остальное оставить, как есть

если ничего не помогает, то проделать такие же па с файлами /etc/passwd и /etc/passwd-
а именно удалить там X между двумя двоеточиями.

после чего понять, что ничего не помогает и вернуться в терминал: 

pam_tally --reset --user=username

Так себе решеньеце, но ни reboot, ни shutdown -r now не работает.
Перезагрузиться и залогиниться спустым паролем, выполнить

и установить новый пароль
да будет счастье!

а вот тут можно посмотреть, что случилось
/var/log/faillog — умолчально для счётчика попыток. Просмотр командой faillog
Ну, и cat /var/log/auth.log | grep failure

Ошибки, с которыми я столкнулась и их решение
если ни с того, ни с сего на любую команду терминал начал выдавать

error openning termiinal:bterm

,
можно нажать alt+ctrl+F2 и работать в новом терминале с блэкджеком и шлюбхами поэтессами и шахматами.
только там по умолчанию он находится в основной системе установочного диска, а чтобы добраться до системы, то надо выполнить

Источник

Оцените статью
© 2023 Posetke
Adblock
detector