Tôi có các hệ thống RHEL 6.3 có access.conf được cấu hình và chạy chính xác. Tuy nhiên, có vẻ như ở trạng thái không lý tưởng, sau khi phân tích nỗ lực hack gốc và tôi tự hỏi liệu có bất cứ điều gì có thể được thực hiện về nó.
Tôi đã sử dụng authconfig để thêm access.conf và sau đó thêm quy tắc của mình. Tuy nhiên, có vẻ như PAM chạy mật khẩu kiểm tra TRƯỚC KHI chạy các quy tắc access.conf. Tôi muốn đảo ngược điều đó, và thậm chí không cho phép ai đó kiểm tra mật khẩu trừ khi họ vượt qua quy tắc access.conf FIRST.
Hành vi hiện tại thể hiện rủi ro bảo mật, imho, bởi vì mặc dù access.conf sau đó có thể từ chối đoán mật khẩu thành công, có những đặc điểm sẽ cho hacker biết rằng họ đã đoán đúng. Đó là:
Những lần thử mật khẩu không thành công:
[ivo@pioneer:~]$ ssh root@mysecuresystem
root@mysecuresystem's password:
Permission denied, please try again.
root@mysecuresystem's password:
Permission denied, please try again.
root@mysecuresystem's password:
Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password).
Mật khẩu thành công:
[ivo@pioneer:~]$ ssh root@mysecuresystem
root@mysecuresystem's password:
Connection closed by 10.10.10.65
Hành vi không kết luận với họ rằng họ có mật khẩu, nhưng nó khác với dự đoán thất bại, và do đó đáng chú ý. (Ngoài ra, nhật ký vẫn hiển thị unix_chkpw, dẫn đến kết quả dương tính giả trong phân tích nhật ký / IDS của Security).
Trong khi thay đổi hành vi này sẽ dẫn đến thay đổi nguồn PAM và do đó rất phức tạp, việc thay đổi thứ tự kiểm tra trong PAM có dễ dàng không?
Vậy làm cách nào để tôi có được PAM để sử dụng access.conf TRƯỚC KHI kiểm tra mật khẩu?
(Lưu ý: Chúng tôi cần sử dụng access.conf vì chúng tôi chỉ cần dừng root từ hầu hết các máy, nhưng cho phép người dùng từ bất cứ đâu. Vì vậy, sshd config không phải là một giải pháp, cũng không phải là trình bao bọc cho những gì chúng tôi cần thực hiện)
Cảm ơn!