Re: FAIL_DELAY Ersatz gesucht!
Gruesse!
* Dirk Salva <dsalva@gmx.de> schrieb am [27.02.07 23:42]:
> Hi Leute,
>
> Nun, FAIL_DELAY ist aus einem mir unverständlichen Grund "deprecated"
> und wird nicht mehr unterstützt.
> Ich dachte erst, ein Eintrag von
> auth required pam_tally.so lock_time=20
> in /etc/pam.d/common-auth würde als Ersatz fungieren, tut es aber
> leider nicht:-(
Vorbemerkung: ich habe mich erst jetzt mal ein bißchen mit pam
beschäftigt und muß das unbedingt vertiefen...
Soweit ich das pam_tally (auch in Verbindung mit deinem 1. peposteten
Link) verstehe, greift lock_time nur für die Zeit in der bei einem deny
der Zugang dür diese Sitzung geblockt wird. Also zum automatischen
Entsperren.
Für das allgemeine FAIL_DELAY aus login.defs sehe ich auch keinen
Ersatz. Im pam-Manual wird noch das Modul pam_faildelay erwähnt, welches
unter Debian aber nicht verfügbar ist (evtl. selbst kompilieren??).
Wobei bei einem kurzen Test unter Sarge FAIL_DELAY bei mir auch nur für
die Konsole greift, nicht für ssh(d).
Bißchen Suchen nach "pam ssh delay" brachte an Ansätzen:
- mit obigem pam_tally können Brute-Force-Attacken für die jeweilige
Session geblockt werden.
- es gibt den Ansatz über NetFilter/iptables zum Session-Begrenzen.
- es gibt auch ein pam-Modul um IPs automatisch blackzulisten.
- OpenSSH zu patchen, sodaß nach einem Fehlversuch ein sleep(X)
aufgerufen wird.
> Hat jemand eine Idee, wie ich das alte Verfahren hinbekomme?!?
Für das FAIL_DELAY würde mich das auch interessieren. Ansonsten (mit
meiner geringen Erfahrung) sehe ich irgendwie doch, das gerade
Konsole(tty, getty) und sshd seperate Auth-Prozeduren haben, die evtl.
nicht über pam abgedeckt sind - gerade in punkto Delay zwischen zwei
versuchen innerhalb der gleichen Session.
Gruß
Gerhard
--
MSCI = M$cro Soft Certificated Installer
Reply to: