servizio pam (sshd) ignorando i tentativi massimi

32

Ho vps che uso per eseguire un server web, attualmente esegue Ubuntu Server 12.04. Da alcune settimane continuo a ricevere molti errori nella mia console ssh.

2014 Apr 11 08:41:18 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:21 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:24 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:25 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:26 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:29 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:29 vps847 PAM service(sshd) ignoring max retries; 6 > 3

Qualcuno potrebbe dirmi cosa significano questi errori. O almeno dimmi come disabilitare questi errori. È davvero entusiasmante quando sto lavorando su ssh e questi errori continuano a comparire su tutto il mio schermo.

ubuntu  ssh  pam 
Jerodev
fonte

Risposte:

40

PAMti sta dicendo che è configurato con "retry = 3" e ignorerà ogni ulteriore richiesta di autenticazione da sshd all'interno della stessa sessione. SSHtuttavia continuerà a provare fino a quando non esaurisce l'impostazione MaxAuthTries (che per impostazione predefinita è 6).

Probabilmente dovresti impostare entrambi (SSH e PAM) sullo stesso valore per i tentativi di autenticazione massimi.

aggiornato

Per modificare questo comportamento:

Per sshdte modificare /etc/ssh/sshd_confige impostare MaxAuthTries 3. Riavviare anche il server SSH per rendere effettive le impostazioni.

Per PAM, devi cercare la configurazione nella /etc/pam.ddirectory (penso che sia un common-passwordfile in Ubuntu), devi cambiare retry=valore.

Nota: suggerirei vivamente di controllare anche la risposta di Peter Hommel per quanto riguarda il motivo di queste richieste in quanto è possibile che il tuo SSH sia stato forzato brutalmente.

phoops
fonte
Grazie, il problema è stato risolto aggiungendo MaxAuthTries 3in ssh config e quindi riavviando il server.
Jerodev,
41

Mentre le altre risposte sono corrette nell'eliminare il messaggio di errore che hai ricevuto, considera che questo messaggio di errore potrebbe essere solo un sintomo di un altro problema sottostante.

Ricevi questi messaggi perché ci sono molti tentativi falliti di accesso tramite ssh sul tuo sistema. Potrebbe esserci qualcuno che sta cercando di forzare la forza nella tua scatola (è stato il caso in cui ho ricevuto gli stessi messaggi sul mio sistema). Leggi il tuo var/log/auth.logper la ricerca ...

In tal caso, dovresti prendere in considerazione l'installazione di uno strumento come "fail2ban" ( sudo apt-get install fail2bansu Ubuntu). Legge automaticamente i file di registro del sistema, cerca più tentativi di accesso non riusciti e blocca i client dannosi per un tempo configurabile tramite iptables ...

Peter Hommel
fonte
4
Questo è un commento molto bello, ho aggiornato la mia risposta con una nota per leggere anche la tua risposta per chiunque possa trovarlo.
phoops,
5

Sembra che l'analisi di cui sopra non sia completamente corretta. Non sembra esserci un'opzione retry = per l'autenticazione pam (ne ho trovata una per pam_cracklib, ma ciò riguarda solo la modifica della password nella sezione "password", non l'autenticazione nella sezione "auth" di pam). Invece, pam_unix contiene un numero massimo di tentativi incorporato di 3. Dopo 3 tentativi, pam restituisce il codice di errore PAM_MAXRETRIES per informare sshd di questo.

sshd dovrebbe davvero smettere di provare in questo caso, indipendentemente dai propri MaxAuthTries. No, che penso sia un bug (che ho appena segnalato con openssh ).

Fino a quando il bug non viene corretto, sembra che l'impostazione di MaxAuthTries su <= 3 sia l'unico modo per impedire la visualizzazione di questo messaggio.

Matthijs Kooijman
fonte
il bug sembra corretto con la versione 7.3p1
Dennis Nolte,
3

Il client ssh può tentare di autenticarsi con una o più chiavi. Qualsiasi chiave che non è elencata in authorized_keys fallirà, consumando uno dei tentativi di sshd. Il client proverà ogni tasto ssh che ha fino a quando uno avrà successo o tutti falliranno, quindi è bene che sshd ti permetta di provare diversi.

Se nessuna chiave corrisponde, sshd potrebbe consentire di provare una password. Ognuno di questi tentativi consuma anche uno dei tentativi consentiti da sshd. Ma consuma anche uno dei tentativi consentiti da PAM.

Quindi, la combinazione di 6 tentativi di autenticazione ssh e 3 tentativi di autenticazione pam è una buona cosa: significa che ssh consentirà un totale di 6 tentativi di autenticazione (chiave o password) ma solo 3 tentativi di password.

Come altri hanno già detto, se li vedi spesso nei tuoi registri, qualcuno sta cercando di forzare la forza nel tuo sistema. Prendi in considerazione l'utilizzo di fail2ban per bloccare completamente i pacchetti dagli indirizzi IP da cui provengono questi tentativi.

Conto
fonte
1

Dopo l'aggiornamento da Debian 6 a Debian 7, ho riscontrato gli stessi problemi. Improvvisamente questi errori sshd sono emersi nella mia console.

2014 Oct 15 13:50:12 vps456 PAM service(sshd) ignoring max retries; 6 > 3
2014 Oct 15 13:50:17 vps456 PAM service(sshd) ignoring max retries; 6 > 3
2014 Oct 15 13:50:18 vps456 PAM service(sshd) ignoring max retries; 6 > 3

Nel mio caso, il problema era che rsyslognon era più installato dopo l'aggiornamento di Debian.

Dopo aver installato rsyslog questi errori sono scomparsi dalla mia console: apt-get install rsyslog

tomputer
fonte
3
Questo li fa apparire solo in un altro posto anziché in console. La mia risposta risolve la causa dell'errore dovuto alla configurazione errata di SSH / PAM dopo l'aggiornamento.
phoops,
-1

Sicuramente ricevere quelle notifiche sulla tua console potrebbe essere fastidioso, ma quando vedo nei miei file di registro che ieri ho avuto 987 tentativi di accesso root non riusciti provenienti da un indirizzo IP in Cina, o 2670 da alcuni servizi cloud in California, o ... molti altri, non mi preoccupo. L'utente root non è autorizzato ad accedere affatto sul mio computer. Non importa quanti tentativi.

Se dovessero iniziare a provare nomi utente che possono accedere, sarebbe una questione diversa, ma se si hanno buone password, non vedo nemmeno un rischio lì. Le password di accesso (a differenza delle chiavi di crittografia) possono essere provate solo così velocemente.

L'uso di qualcosa come fail2ban sembra una complessità superflua che non acquista nulla (se si dispone di password valide) e la complessità è dannosa per la sicurezza. I tentativi di limitazione sono qualcosa che sshd dovrebbe implementare, non qualcosa che dovrebbe richiedere qualche componente aggiuntivo ... e sshd fa tentativi di limitazione. Buono.

-kb, il Kent che usa solo buone password e non è mai stato riciclato tra siti diversi.

Kent Borg
fonte
2
L'uso di chiavi ssh e la disabilitazione delle password è ancora meglio nel prevenire attacchi di forza bruta riusciti.
HBruijn,
Sì, ma il problema si sposta sulla protezione delle chiavi ssh. Dove sono loro? Sono criptati? Quanto è buona una chiave per proteggerli? Se una password non può essere decifrata in X-anni di tentativi, allora non può essere decifrata in X-anni di tentativi, a cosa ti serve "meglio"? Ho dedicato molto tempo alla gestione delle mie password e posso scriverle, molte delle quali ricordo. Ma un mucchio di chiavi ssh? Ho bisogno di un posto sicuro per conservarli.
Kent Borg,
2
La forzatura bruta di una password (in genere lunga meno di 20 caratteri e troppo spesso scelta male) è molto più semplice della forzatura bruta di una chiave privata a 1024 bit (semplificata l'equivalente di una password di 128 caratteri) per ottenere l'accesso tramite SSH. Continuiamo a confrontare le mele con le mele. - - A meno che tu non sia un completo idiota (ad es. Memorizzare la tua chiave privata nel tuo github pubblico) ottenere la tua chiave ssh privata è difficile poiché non deve mai lasciare la tua workstation. Una volta che la tua chiave privata è stata compromessa, non siamo più negli attacchi casuali, ma entriamo nel regno degli attacchi mirati ...
HBruijn,
@Kent sai che puoi proteggere con password le tue chiavi SSH? Inoltre, dici che fail2ban non è necessario ma continui a suggerire che SSH dovrebbe implementare questa funzione in sé. Inoltre, se non blocchi le richieste, possono semplicemente DDoS il tuo sistema molto più semplice.
phoops,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.