послуги пам’яті (sshd) ігноруючи максимум спроб

У мене є vps, який я використовую для запуску веб-сервера, на даний момент він працює на сервері ubuntu 12.04. З кількох тижнів я постійно отримую багато помилок у консолі ssh.

2014 Apr 11 08:41:18 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:21 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:24 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:25 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:26 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:29 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:29 vps847 PAM service(sshd) ignoring max retries; 6 > 3

Невже хтось скаже, будь ласка, що означають ці помилки. Або хоча б розкажіть, як відключити ці помилки. Це справді неприємно, коли я працюю над ssh, і ці помилки постійно з’являються на всьому екрані.

PAMповідомляє вам, що він налаштований на "retry = 3", і він буде ігнорувати будь-які подальші запити на аутентифікацію від sshd протягом того ж сеансу. SSHоднак продовжуватиметься, поки не буде вичерпано параметр MaxAuthTries (який за замовчуванням дорівнює 6).

Напевно, ви повинні встановити для обох цих (SSH та PAM) однакове значення для максимальної кількості повторень.

Оновлено

Щоб змінити цю поведінку:

Для sshdредагування /etc/ssh/sshd_configта налаштування MaxAuthTries 3. Також перезапустіть SSH-сервер, щоб налаштування набули чинності.

Тому що PAMвам потрібно шукати конфігурацію в /etc/pam.dкаталозі (я думаю, що це common-passwordфайл в Ubuntu), ви повинні змінити retry=значення.

Зауважте: я б настійно пропонував також перевірити відповідь Пітера Хоммеля щодо причини цих запитів, оскільки можливо, ваш SSH піддається жорстокій формі.

Хоча інші відповіді правильні в усуненні отриманого вами повідомлення про помилку, врахуйте, що це повідомлення про помилку може бути лише симптомом іншої основної проблеми.

Ви отримуєте ці повідомлення, оскільки у вашій системі є багато невдалих спроб входу через ssh. Можливо, хтось намагається вчинити жорстоку силу у вашу скриньку (це було у випадку, коли я отримував ті ж повідомлення у своїй системі). Прочитайте свої var/log/auth.logдослідження ...

У такому випадку вам слід розглянути можливість встановлення такого інструменту, як "fail2ban" ( sudo apt-get install fail2banна Ubuntu). Він автоматично зчитує файли журналів вашої системи, шукає декілька невдалих спроб входу та блокує зловмисних клієнтів протягом конфігуруваного часу за допомогою iptables ...

Здається, наведений аналіз не є абсолютно правильним. Здається, не існує можливості для повторної = автентифікації пам’яті (я знайшов такий для пам_краклібу, але це стосується лише зміни пароля в розділі «пароль», а не аутентифікації в розділі «авт» пам.). Натомість pam_unix містить вбудовану максимальну кількість повторень 3. Після 3 повторень пам’ять повертає код помилки PAM_MAXRETRIES, щоб повідомити про це sshd.

sshd дійсно повинен припинити пробувати в цьому випадку, незалежно від власних MaxAuthTries. Це не так, що, на мою думку, є помилкою (про яку я щойно повідомив з openssh ).

Поки ця помилка не виправлена, здається, що встановлення MaxAuthTries на <= 3 - це єдиний спосіб запобігти появі цього повідомлення.

Ssh-клієнт може спробувати здійснити автентифікацію за допомогою одного або декількох ключів. Будь-які ключі, які не перелічені в авторизованих_кейдах, вийдуть з ладу, використовуючи одну з повторних спроб sshd. Клієнт спробує кожен ключ, який він має, поки один не вдасться або не вийде з ладу, тому добре, що sshd дозволяє спробувати кілька.

Якщо жодна клавіша не збігається, sshd може дозволити вам спробувати пароль. Кожна з цих спроб також споживає одне з дозволених повторень. Але він також споживає одну з дозволених спроб PAM.

Таким чином, поєднання 6 сш авторизованих спроб і 3 пам авт спробу є хорошою справою: це означає, що ssh дозволить 6 авторів спроб усього (ключ або пароль), але лише 3 спроби пароля.

Як говорили інші, якщо ви часто їх бачите у своїх журналах, хтось намагається грубо пробитися до вашої системи. Розгляньте можливість використання fail2ban для повного блокування пакетів з IP-адрес, з яких ці спроби походять.

Після переходу з Debian 6 на Debian 7 я зіткнувся з тими ж неприємностями. Раптом ці помилки sshd з’явилися в моїй консолі.

2014 Oct 15 13:50:12 vps456 PAM service(sshd) ignoring max retries; 6 > 3
2014 Oct 15 13:50:17 vps456 PAM service(sshd) ignoring max retries; 6 > 3
2014 Oct 15 13:50:18 vps456 PAM service(sshd) ignoring max retries; 6 > 3

У моєму випадку проблема полягала в тому, що rsyslogпісля оновлення Debian більше не було встановлено.

Після встановлення rsyslog ці помилки зникли з моєї консолі: apt-get install rsyslog

Безумовно, отримання цих повідомлень на вашій консолі може бути дратує, але коли я бачу в своїх журналах файли, що вчора у мене було 987 невдалих спроб входу в систему, що надходять з IP-адреси в Китаї, або 2670 від якоїсь хмарної служби в Каліфорнії, або ... багатьох інших, я не хвилююся. Користувальницький корінь заборонено входити в систему на своїй машині Неважливо, скільки спроб.

Якщо вони почали пробувати імена користувачів, які можуть увійти в систему, це було б іншим питанням, але якщо у вас є хороші паролі, я також не бачу ризику. Паролі для входу (на відміну від ключів шифрування) можна спробувати лише так швидко.

Використовувати щось на кшталт fail2ban здається зайвою складністю, яка нічого не купує (якщо у вас хороші паролі), а складність погана для безпеки. Троттлінг спроби що - то , що SSHD слід здійснювати, не те , що повинно вимагати певної надбудови ... і SSHD робить спроби дроселя. Добре.

-kb, Кент, який використовує лише хороші паролі та ніколи не переробляється між різними сайтами.