pam service (sshd) ไม่สนใจการลองซ้ำสูงสุด

ฉันมี vps ที่ฉันใช้เพื่อเรียกใช้เว็บเซิร์ฟเวอร์ในขณะนี้ทำงานบนเซิร์ฟเวอร์ ubuntu 12.04 ตั้งแต่สองสามสัปดาห์ฉันได้รับข้อผิดพลาดมากมายในคอนโซล ssh ของฉัน

2014 Apr 11 08:41:18 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:21 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:24 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:25 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:26 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:29 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:29 vps847 PAM service(sshd) ignoring max retries; 6 > 3

มีคนช่วยบอกฉันว่าข้อผิดพลาดเหล่านี้หมายถึงอะไร หรืออย่างน้อยบอกวิธีการปิดการใช้งานข้อผิดพลาดเหล่านี้ มันน่ารำคาญจริง ๆ เมื่อฉันทำงานกับ ssh และข้อผิดพลาดเหล่านี้ก็โผล่ขึ้นมาบนหน้าจอของฉัน

PAMกำลังบอกคุณว่ามีการกำหนดค่าด้วย "ลองใหม่ = 3" และจะเพิกเฉยต่อคำขอการรับรองความถูกต้องเพิ่มเติมจาก sshd ภายในเซสชันเดียวกัน SSHอย่างไรก็ตามจะพยายามต่อไปจนกว่าจะหมดการตั้งค่า MaxAuthTries (ค่าเริ่มต้นคือ 6)

คุณควรตั้งค่าทั้งสองอย่างนี้ (SSH และ PAM) ให้เป็นค่าเดียวกันสำหรับการลองตรวจสอบใหม่สูงสุด

Updated

วิธีเปลี่ยนพฤติกรรมนี้:

สำหรับsshdคุณแก้ไขและการตั้งค่า/etc/ssh/sshd_config MaxAuthTries 3รีสตาร์ทเซิร์ฟเวอร์ SSH เพื่อให้การตั้งค่ามีผล

สำหรับPAMคุณต้องค้นหาการกำหนดค่าใน/etc/pam.dไดเรกทอรี (ฉันคิดว่ามันเป็นcommon-passwordไฟล์ใน Ubuntu) คุณต้องเปลี่ยนretry=ค่า

หมายเหตุ:ฉันขอแนะนำอย่างยิ่งให้ตรวจสอบคำตอบของ Peter Hommel เกี่ยวกับสาเหตุของการร้องขอเหล่านี้เนื่องจากเป็นไปได้ว่า SSH ของคุณถูกบังคับให้ดุร้าย

ในขณะที่คำตอบอื่น ๆ นั้นถูกต้องในการกำจัดข้อความแสดงข้อผิดพลาดที่คุณได้รับให้พิจารณาว่าข้อความแสดงข้อผิดพลาดนี้อาจเป็นอาการของปัญหาพื้นฐานอื่น

คุณได้รับข้อความเหล่านี้เนื่องจากมีความพยายามในการเข้าสู่ระบบล้มเหลวหลายครั้งผ่าน ssh ในระบบของคุณ อาจมีบางคนกำลังพยายามใส่ร้ายในกล่องของคุณ (เป็นกรณีเมื่อฉันได้รับข้อความเดียวกันในระบบของฉัน) อ่านของคุณvar/log/auth.logเพื่อการวิจัย ...

หากเป็นกรณีนี้คุณควรลองติดตั้งเครื่องมือเช่น 'fail2ban' ( sudo apt-get install fail2banบน Ubuntu) มันจะอ่านไฟล์บันทึกของระบบของคุณโดยอัตโนมัติค้นหาความพยายามในการเข้าสู่ระบบล้มเหลวหลายครั้งและบล็อกไคลเอนต์ที่เป็นอันตรายสำหรับเวลาที่กำหนดผ่าน iptables ...

ดูเหมือนว่าการวิเคราะห์ข้างต้นไม่ถูกต้องสมบูรณ์ ดูเหมือนจะไม่มีตัวเลือก retry = สำหรับการรับรองความถูกต้องของ pam (ฉันหา pam_cracklib แต่พบว่าเกี่ยวข้องกับการเปลี่ยนรหัสผ่านในส่วน "รหัสผ่าน" เท่านั้นไม่ใช่การตรวจสอบสิทธิ์ในส่วน "รับรองความถูกต้อง" ของ pam) pam_unix มีจำนวนครั้งในการลองใหม่สูงสุดเป็น 3 หลังจากลอง 3 ครั้ง pam จะส่งคืนรหัสข้อผิดพลาด PAM_MAXRETRIES เพื่อแจ้งให้ทราบถึงสิ่งนี้

sshd ควรหยุดลองในกรณีนี้จริงๆโดยไม่คำนึงถึง MaxAuthTries ของมันเอง ไม่ใช่ซึ่งฉันคิดว่าเป็นข้อผิดพลาด (ซึ่งฉันเพิ่งรายงานด้วย openssh )

จนกว่าข้อผิดพลาดนั้นจะได้รับการแก้ไขดูเหมือนว่าการตั้งค่า MaxAuthTries เป็น <= 3 เป็นวิธีเดียวที่จะป้องกันไม่ให้ข้อความนี้ปรากฏขึ้น

ไคลเอ็นต์ ssh อาจพยายามตรวจสอบสิทธิ์ด้วยปุ่มอย่างน้อยหนึ่งปุ่ม คีย์ใด ๆ ที่ไม่ได้ระบุไว้ใน authorized_keys จะล้มเหลวโดยใช้หนึ่งในความพยายามของ sshd ลูกค้าจะลองใช้ทุกคีย์ ssh ที่มีจนกว่าจะสำเร็จหรือล้มเหลวทั้งหมดดังนั้นจึงเป็นเรื่องดีที่ sshd ให้คุณลองได้หลาย ๆ ปุ่ม

หากไม่มีคีย์ที่ตรงกัน sshd อาจอนุญาตให้คุณลองใช้รหัสผ่าน แต่ละความพยายามเหล่านี้ยังใช้หนึ่งในการลองใหม่ที่อนุญาตของ sshd แต่มันยังใช้หนึ่งในการลองใหม่ที่อนุญาตของ PAM

ดังนั้นการรวมกันของ 6 ssh auth พยายามและ 3 pam auth พยายามเป็นสิ่งที่ดี: หมายความว่า ssh จะอนุญาตให้ 6 auth ลองทั้งหมด (คีย์หรือรหัสผ่าน) แต่พยายามเพียง 3 รหัสผ่าน

อย่างที่คนอื่นพูดกันว่าถ้าคุณเห็นสิ่งเหล่านี้ในบันทึกของคุณบ่อยครั้งมีคนพยายามที่จะทำให้พวกเขาเข้ามาในระบบของคุณ พิจารณาใช้ fail2ban เพื่อบล็อกแพ็คเก็ตจากที่อยู่ IP อย่างสมบูรณ์ซึ่งความพยายามเหล่านี้เกิดขึ้น

หลังจากอัปเกรดจาก Debian 6 เป็น Debian 7 ฉันพบปัญหาเดียวกัน ทันใดนั้นข้อผิดพลาด sshd เหล่านี้เกิดขึ้นในคอนโซลของฉัน

2014 Oct 15 13:50:12 vps456 PAM service(sshd) ignoring max retries; 6 > 3
2014 Oct 15 13:50:17 vps456 PAM service(sshd) ignoring max retries; 6 > 3
2014 Oct 15 13:50:18 vps456 PAM service(sshd) ignoring max retries; 6 > 3

ในกรณีของฉันปัญหาrsyslogคือว่าไม่ได้ติดตั้งอีกต่อไปหลังจากการอัพเกรด Debian

หลังจากติดตั้ง rsyslog ข้อผิดพลาดเหล่านี้หายไปจากคอนโซลของฉัน: apt-get install rsyslog

การรับประกาศเหล่านั้นบนคอนโซลของคุณอาจทำให้เกิดความรำคาญ แต่เมื่อฉันเห็นในไฟล์บันทึกของฉันว่าเมื่อวานนี้ฉันมี 987 ครั้งที่ล้มเหลวในการพยายามเข้าสู่ระบบรากที่มาจากที่อยู่ IP ในประเทศจีนหรือ 2670 จากบริการคลาวด์ในแคลิฟอร์เนียหรือ ... อื่น ๆ ฉันไม่ต้องกังวล ผู้ใช้รูทไม่ได้รับอนุญาตให้เข้าสู่ระบบเลยบนเครื่องของฉัน ไม่ว่าจะพยายามกี่ครั้ง

พวกเขาจะเริ่มลองใช้ชื่อผู้ใช้ที่สามารถเข้าสู่ระบบนั่นจะเป็นเรื่องที่แตกต่างกัน แต่ถ้ามีรหัสผ่านที่ดีฉันไม่เห็นความเสี่ยงที่นั่น รหัสผ่านเข้าสู่ระบบ (ต่างจากกุญแจเข้ารหัส) สามารถลองได้อย่างรวดเร็วเท่านั้น

การใช้บางอย่างเช่น fail2ban ดูเหมือนความซับซ้อนที่ไม่จำเป็นที่จะไม่ซื้ออะไรเลย (ถ้าคุณมีรหัสผ่านที่ดี) และความซับซ้อนนั้นไม่ดีสำหรับความปลอดภัย การควบคุมปริมาณความพยายามเป็นสิ่งที่ sshd ควรใช้ไม่ใช่สิ่งที่ควรจะต้องมี Add-on ... และ sshd ไม่พยายามเค้น ดี.

-kb เคนท์ที่ใช้รหัสผ่านที่ดีเท่านั้นและไม่เคยนำกลับมาใช้ใหม่ระหว่างไซต์ต่างๆ