প্যাম পরিষেবা (এসএসডি) সর্বাধিক পুনরায় চেষ্টা উপেক্ষা করে

32

আমার কাছে ভিপিএস রয়েছে যা আমি একটি ওয়েব সার্ভার চালু করতে ব্যবহার করি, এটি বর্তমানে উবুন্টু সার্ভারটি 12.04 চালায়। কয়েক সপ্তাহ থেকে আমি আমার এসএসএস কনসোলে প্রচুর ত্রুটি পেতে থাকি।

2014 Apr 11 08:41:18 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:21 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:24 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:25 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:26 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:29 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:29 vps847 PAM service(sshd) ignoring max retries; 6 > 3

এই ত্রুটিগুলির অর্থ কী কেউ আমাকে বলতে পারেন। অথবা কমপক্ষে আমাকে বলুন কীভাবে এই ত্রুটিগুলি অক্ষম করবেন। আমি যখন ssh নিয়ে কাজ করছি তখন এটি সত্যই বিরক্তিকর হয় এবং এই ত্রুটিগুলি আমার পর্দা জুড়ে ধরে রাখে।

ubuntu  ssh  pam 
Jerodev
সূত্র

উত্তর:

40

PAMআপনাকে বলছে যে এটি "পুনরায় চেষ্টা করুন = 3" দিয়ে কনফিগার করা হয়েছে এবং এটি একই অধিবেশনের মধ্যে এসএসডিডি-র পরবর্তী কোনও লেখক অনুরোধ অগ্রাহ্য করবে। SSHতবে যতক্ষণ না এটি ম্যাক্সউথটিজ সেটিং (যা 6 এ ডিফল্ট হয়) অবসন্ন না করে ততক্ষণ চেষ্টা চালিয়ে যাবে।

সর্বাধিক লেখক পুনরায় চেষ্টা করার জন্য আপনার সম্ভবত এই দুটি (এসএসএইচ এবং পিএএম) একই মানতে সেট করা উচিত।

আপডেট করা হয়েছে

এই আচরণটি পরিবর্তন করতে:

জন্য sshdআপনি সম্পাদনা /etc/ssh/sshd_configএবং সেট MaxAuthTries 3। সেটিংস কার্যকর হওয়ার জন্য এসএসএইচ সার্ভার পুনরায় চালু করুন।

এর জন্য PAMআপনাকে /etc/pam.dডিরেক্টরিতে কনফিগারেশনটি খুঁজতে হবে (আমি মনে করি এটি common-passwordউবুন্টুতে ফাইল), আপনার retry=মান পরিবর্তন করতে হবে ।

দ্রষ্টব্য: আমি দৃ requests়ভাবে এই অনুরোধগুলির কারণ সম্পর্কে পিটার হোমেলের জবাব পরীক্ষা করার পরামর্শ দিচ্ছি কারণ আপনার এসএসএইচকে নিষ্ঠুর করে দেওয়া সম্ভব।

phoops
সূত্র
ধন্যবাদ, MaxAuthTries 3ssh কনফিগারেশনে যুক্ত করে সার্ভারটি পুনরায় বুট করে সমস্যার সমাধান করা হয়েছিল ।
জেরোদেভ
41

অন্য উত্তরগুলি আপনার পাওয়া ত্রুটি বার্তাকে অপসারণে সঠিক হলেও, বিবেচনা করুন যে এই ত্রুটি বার্তাটি কেবল অন্য অন্তর্নিহিত সমস্যার লক্ষণ হতে পারে।

আপনি এই বার্তাগুলি পান কারণ আপনার সিস্টেমে ssh এর মাধ্যমে অনেকগুলি ব্যর্থ লগইন প্রচেষ্টা রয়েছে। কেউ হয়ত আপনার বাক্সটিতে আঘাত করার চেষ্টা করছে (যখন আমার সিস্টেমে আমি একই বার্তা পেলাম তখনই ছিল)। আপনার var/log/auth.logগবেষণার জন্য পড়ুন ...

যদি এটি হয় তবে আপনি 'ফেল2ban' ( sudo apt-get install fail2banউবুন্টুতে) এর মতো একটি সরঞ্জাম ইনস্টল করার কথা বিবেচনা করবেন । এটি স্বয়ংক্রিয়ভাবে আপনার সিস্টেমের লগ ফাইলগুলি পড়ে, একাধিক ব্যর্থ লগইন প্রচেষ্টা অনুসন্ধান করে এবং iptables এর মাধ্যমে কনফিগারযোগ্য সময়ের জন্য দূষিত ক্লায়েন্টকে ব্লক করে ...

পিটার হোমেল
সূত্র
4
এটি একটি খুব সুন্দর মন্তব্য, আমি এই উত্তরটি আসতে পারে এমন কারও জন্য আপনার উত্তরটি পড়তে আমি একটি উত্তর দিয়ে আমার উত্তরটি আপডেট করেছি।
5

উপরের বিশ্লেষণটি সম্পূর্ণ সঠিক নয় বলে মনে হয়। পাম প্রমাণীকরণের জন্য পুনরায় চেষ্টা করুন = বিকল্প বলে মনে হচ্ছে না (পাম_ক্র্যাকলিবের জন্য আমি একটি খুঁজে পেয়েছি, তবে এটি কেবল "পাসওয়ার্ড" বিভাগে পাসওয়ার্ড পরিবর্তন করতে উদ্বেগজনক, পমের "প্রমাণীকরণ" বিভাগে প্রমাণীকরণ নয়)। পরিবর্তে, পাম_উনিক্সে বিল্টিন সর্বাধিক সংখ্যক পুনরায় প্রচেষ্টা রয়েছে 3 টি পুনরায় চেষ্টা করার পরে, প্যাম এই সম্পর্কে sshd অবহিত করতে PAM_MAXRETRIES ত্রুটি কোড দেয়।

sshd এর নিজের ম্যাক্সঅথটিজ নির্বিশেষে এই ক্ষেত্রে সত্যই চেষ্টা করা বন্ধ করে দেওয়া উচিত। এটি হয় না, যা আমি মনে করি এটি একটি বাগ (যা আমি সবেমাত্র ওপেনশ্যাশ দিয়ে রিপোর্ট করেছি )।

যতক্ষণ না বাগটি স্থির হয়ে যায়, ততক্ষণ মনে হয় যে ম্যাক্সএথটিস্ট্রিগুলি <= 3 এ সেট করা হ'ল এই বার্তাটি প্রদর্শিত হওয়া থেকে রোধ করার একমাত্র উপায়।

ম্যাথিজস কুইজমান
সূত্র
বাগটি 7.3p1 সংস্করণ দিয়ে সংশোধন করা হয়েছে
ডেনিস
3

Ssh ক্লায়েন্ট এক বা একাধিক কী দিয়ে প্রমাণীকরণের চেষ্টা করতে পারে। অনুমোদিত_কিগুলিতে তালিকাভুক্ত নয় এমন কোনও কী ব্যর্থ হবে, sshd এর একটি চেষ্টা আবার ব্যবহার করবে। ক্লায়েন্ট তার সাফল্যের সাথে সমস্ত সফল হওয়া বা সমস্ত ব্যর্থ না হওয়া পর্যন্ত থাকা প্রতিটি এসএসই কী চেষ্টা করবে, সুতরাং এটি ভাল যে sshd আপনাকে বেশ কয়েকটি চেষ্টা করতে দেয়।

যদি কোনও কী মেলে না, sshd আপনাকে একটি পাসওয়ার্ড চেষ্টা করার অনুমতি দিতে পারে। এই প্রয়াসগুলির প্রত্যেকটিই sshd এর অনুমোদিত পুনরায় চেষ্টাগুলির একটি গ্রহণ করে। তবে, এটি পিএএমের অনুমোদিত অনুমতিগুলির মধ্যে একটি ব্যবহার করে।

সুতরাং, 6 ssh লেখার চেষ্টা এবং 3 পাম লেখার চেষ্টাগুলির সংমিশ্রণটি একটি ভাল জিনিস: এর অর্থ এই যে ssh 6 টি লেখককে মোট (কী বা পাসওয়ার্ড) চেষ্টা করার অনুমতি দেয় তবে কেবল 3 টি পাসওয়ার্ড চেষ্টা করে।

অন্যরা যেমন বলেছে, আপনি যদি নিজের লগগুলিতে প্রায়শই এটি দেখতে পান তবে কেউ আপনার সিস্টেমে তাদের জোর করে চাপিয়ে দেওয়ার চেষ্টা করছে। এই চেষ্টাগুলি থেকে উদ্ভূত আইপি ঠিকানাগুলি থেকে প্যাকেটগুলি সম্পূর্ণরূপে ব্লক করতে ব্যর্থ 2ban ব্যবহার করার বিষয়টি বিবেচনা করুন।

বিল
সূত্র
1

ডেবিয়ান 6 থেকে ডেবিয়ান 7 তে উন্নীত করার পরে, আমি একই সমস্যায় পড়েছি। হঠাৎ আমার কনসোলে এই এসএসডি ত্রুটিগুলি উপস্থিত হয়েছিল।

2014 Oct 15 13:50:12 vps456 PAM service(sshd) ignoring max retries; 6 > 3
2014 Oct 15 13:50:17 vps456 PAM service(sshd) ignoring max retries; 6 > 3
2014 Oct 15 13:50:18 vps456 PAM service(sshd) ignoring max retries; 6 > 3

আমার ক্ষেত্রে সমস্যাটি ছিল যে rsyslogডেবিয়ান আপগ্রেড হওয়ার পরে আর ইনস্টল করা হয়নি।

আরএসস্লগ ইনস্টল করার পরে এই ত্রুটিগুলি আমার কনসোল থেকে অদৃশ্য হয়ে গেছে: apt-get install rsyslog

tomputer
সূত্র
3
এটি কেবল কনসোলের পরিবর্তে অন্য জায়গায় উপস্থিত হতে পারে। আমার উত্তরটি আপগ্রেডের পরে এসএসএইচ / পিএএম ভুল কনফিগারেশনের কারণে ত্রুটির কারণটি ঠিক করে।
ফোপস
-1

অবশ্যই আপনার কনসোলে সেই বিজ্ঞপ্তিগুলি পাওয়া বিরক্তিকর হতে পারে তবে আমি যখন আমার লগ ফাইলগুলিতে দেখি যে গতকাল আমার চীনর আইপি ঠিকানা থেকে 987 বা ক্যালিফোর্নিয়ায় কিছু ক্লাউড পরিষেবা থেকে 2670, বা ... অনেকগুলি রুট লগইন প্রচেষ্টা ব্যর্থ হয়েছিল ... অন্যদের, আমি চিন্তা করবেন না। ব্যবহারকারীর রুটকে আমার মেশিনে লগইন করার অনুমতি নেই। যত চেষ্টা করুক না কেন।

তারা কি লগইন করতে পারে এমন ব্যবহারকারীর নাম চেষ্টা করতে শুরু করেছিল, এটি ভিন্ন বিষয় হবে তবে যদি কোনওটির পাসওয়ার্ড ভাল থাকে তবে আমি সেখানে ঝুঁকি দেখছি না। লগইন পাসওয়ার্ডগুলি (এনক্রিপশন কীগুলির বিপরীতে) কেবলমাত্র এত দ্রুত চেষ্টা করা যেতে পারে।

ব্যর্থ 2ban এর মতো কিছু ব্যবহার করা অপ্রয়োজনীয় জটিলতা বলে মনে হচ্ছে যা কিছু কিনে না (যদি আপনার ভাল পাসওয়ার্ড থাকে) এবং সুরক্ষার জন্য জটিলতা খারাপ। প্রচেষ্টা থ্রোটলিং এমন কিছু বিষয় যা sshd কমান্ড, বাস্তবায়ন করা উচিত এমন কিছু বিষয় যা কিছু অ্যাড-অন ... প্রয়োজন হবে এবং sshd কমান্ড নয় করে শ্বাসনালী প্রচেষ্টা করা হয়েছে। ভাল.

-কেবি, কেন্ট যারা কেবলমাত্র ভাল পাসওয়ার্ড ব্যবহার করে এবং বিভিন্ন সাইটের মধ্যে কখনও পুনর্ব্যবহার করে না।

কেন্ট বর্গ
সূত্র
2
সফল ব্রুট-ফোর্স আক্রমণ প্রতিরোধে এসএসএস কী ব্যবহার করা এবং পাসওয়ার্ড অক্ষম করা আরও ভাল।
এইচবিউইজন
হ্যাঁ, তবে তারপরে সমস্যাটি আপনার এসএস কীগুলি রক্ষা করতে চলে আসে। তারা কোথায়? তারা এনক্রিপ্ট করা হয়? কী একটি কী তাদের রক্ষা করে? যদি এক্স-বছর চেষ্টা করেও কোনও পাসওয়ার্ড ক্র্যাক করা যায় না, তবে এক্স-বছরের চেষ্টা করেও এটি ক্র্যাক করা যায় না, আপনার "আরও ভাল" কীসের দরকার? আমি আমার পাসওয়ার্ড পরিচালনা করার জন্য অনেক সময় রেখেছি এবং আমি এগুলি টাইপ করতে পারি, তাদের অনেকেরই মনে আছে। কিন্তু ssh কী একটি গুচ্ছ? এগুলি রাখার জন্য কিছু জায়গা নিরাপদ প্রয়োজন।
কেন্ট বার্গ
2
ব্রুট ফোর্সিং একটি পাসওয়ার্ড (সাধারণত 20 টির চেয়ে কম বর্ণের এবং খুব বেশি খারাপভাবে বেছে নেওয়া) এসএসএইচ এর মাধ্যমে অ্যাক্সেস পেতে 1024 বিট প্রাইভেট কী (128 অক্ষরের পাসওয়ার্ডের সমতুল্য সরলীকৃত) জোর করে ব্রুটের চেয়ে অনেক সহজ much আসুন আপেলের সাথে আপেলের তুলনা করতে থাকুন। - - আপনি যদি সম্পূর্ণ বোকা না হন (উদাহরণস্বরূপ আপনার জনসাধারণের গিথুবে আপনার ব্যক্তিগত কী সংরক্ষণ করা) আপনার প্রাইভেট এসএস কী-তে পাওয়া কঠিন কারণ যেহেতু কখনও আপনার ওয়ার্কস্টেশনটি ছাড়ার প্রয়োজন হয় না। একবার আপনার প্রাইভেট কীটি আপোস হয়ে গেলে আমরা আর এলোমেলো আক্রমণে থাকব না, তবে লক্ষ্যবস্তু আক্রমণের রাজ্যে প্রবেশ করছি ...
HBruijn
@ আপনি কী জানেন যে আপনি এসএসএইচ কী পাসওয়ার্ডটি সুরক্ষা দিতে পারবেন? এছাড়াও, আপনি বলছেন ব্যর্থ 2ban অপ্রয়োজনীয় তবে এসএসএইচকে নিজের মধ্যে এই বৈশিষ্ট্যটি প্রয়োগ করা উচিত বলে পরামর্শ দেওয়া চালিয়ে যান। এছাড়াও, আপনি যদি অনুরোধগুলি অবরুদ্ধ করেন না তবে তারা কেবল আপনার সিস্টেমে DDoS করতে পারবেন।
26:18
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.