web-dev-qa-db-fra.com

service pam (sshd) ignorant le nombre maximal de tentatives

J'ai des vps que j'utilise pour exécuter un serveur Web, il exécute actuellement le serveur Ubuntu 12.04. Depuis quelques semaines, je reçois beaucoup d'erreurs dans ma console ssh.

2014 Apr 11 08:41:18 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:21 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:24 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:25 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:26 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:29 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:29 vps847 PAM service(sshd) ignoring max retries; 6 > 3

Quelqu'un pourrait-il me dire ce que signifient ces erreurs? Ou du moins, dites-moi comment désactiver ces erreurs. C'est vraiment énervant quand je travaille sur ssh et ces erreurs continuent d'apparaître partout sur mon écran.

ubuntusshpam
33
Jerodev

PAM vous indique qu'il est configuré avec "retry = 3" et qu'il ignorera toutes les autres demandes d'authentification de sshd dans la même session. SSH continuera cependant d'essayer jusqu'à ce qu'il épuise le paramètre MaxAuthTries (qui est par défaut 6).

Vous devez probablement définir les deux (SSH et PAM) sur la même valeur pour des tentatives d'authentification maximales.

mis à jour

Pour modifier ce comportement:

Pour sshd vous modifiez /etc/ssh/sshd_config Et mettre MaxAuthTries 3. Redémarrez également le serveur SSH pour que le paramètre prenne effet.

Pour PAM, vous devez rechercher la configuration dans /etc/pam.d répertoire (je pense que c'est common-password fichier dans Ubuntu), vous devez modifier retry= valeur.

Note: Je suggère fortement de vérifier également la réponse de Peter Hommel concernant la raison de ces demandes car il est possible que votre SSH soit forcé par la force.

40
phoops

Bien que les autres réponses soient correctes pour éliminer le message d'erreur que vous avez, considérez que ce message d'erreur peut simplement être le symptôme d'un autre problème sous-jacent.

Vous obtenez ces messages car de nombreuses tentatives de connexion ont échoué via ssh sur votre système. Il y a peut-être quelqu'un qui essaie de forcer brutalement votre boîte (c'était le cas lorsque j'ai reçu les mêmes messages sur mon système). Lisez votre var/log/auth.log pour la recherche...

Si tel est le cas, vous devriez envisager d'installer un outil comme "fail2ban" (Sudo apt-get install fail2ban sur Ubuntu). Il lit automatiquement les fichiers journaux de votre système, recherche plusieurs tentatives de connexion infructueuses et bloque les clients malveillants pendant une durée configurable via iptables ...

42
Peter Hommel

Il semble que l'analyse ci-dessus ne soit pas complètement correcte. Il ne semble pas y avoir d'option retry = pour l'authentification pam (j'en ai trouvé une pour pam_cracklib, mais cela ne concerne que le changement de mot de passe dans la section "mot de passe", pas l'authentification dans la section "auth" de pam). Au lieu de cela, pam_unix contient un nombre maximal de tentatives intégré de 3. Après 3 tentatives, pam renvoie le code d'erreur PAM_MAXRETRIES pour informer sshd de cela.

sshd devrait vraiment arrêter d'essayer dans ce cas, indépendamment de ses propres MaxAuthTries. Ce n'est pas le cas, ce qui, à mon avis, est un bogue (que j'ai juste signalé avec openssh ).

Jusqu'à ce que ce bogue soit corrigé, il semble que définir MaxAuthTries sur <= 3 est le seul moyen d'empêcher ce message de s'afficher.

5
Matthijs Kooijman

Le client ssh peut tenter de s'authentifier avec une ou plusieurs clés. Toutes les clés qui ne sont pas répertoriées dans authorized_keys échoueront, consommant l'une des tentatives de sshd. Le client essaiera chaque clé ssh qu'il possède jusqu'à ce que l'une réussisse ou échoue, il est donc bon que sshd vous permette d'en essayer plusieurs.

Si aucune clé ne correspond, sshd peut vous permettre d'essayer un mot de passe. Chacune de ces tentatives consomme également l'une des tentatives autorisées de sshd. Mais, il consomme également l'une des tentatives autorisées de PAM.

Ainsi, la combinaison de 6 tentatives d'authentification ssh et de 3 tentatives d'authentification pam est une bonne chose: cela signifie que ssh autorisera 6 tentatives d'authentification au total (clé ou mot de passe) mais seulement 3 tentatives de mot de passe.

Comme d'autres l'ont dit, si vous les voyez souvent dans vos journaux, quelqu'un essaie de s'introduire brutalement dans votre système. Pensez à utiliser fail2ban pour bloquer complètement les paquets des adresses IP d'où proviennent ces tentatives.

3
Bill

Après la mise à niveau de Debian 6 vers Debian 7, j'ai rencontré les mêmes problèmes. Soudain, ces erreurs sshd sont apparues dans ma console.

2014 Oct 15 13:50:12 vps456 PAM service(sshd) ignoring max retries; 6 > 3
2014 Oct 15 13:50:17 vps456 PAM service(sshd) ignoring max retries; 6 > 3
2014 Oct 15 13:50:18 vps456 PAM service(sshd) ignoring max retries; 6 > 3

Dans mon cas, le problème était que rsyslog n'était plus installé après la mise à niveau de Debian.

Après l'installation de rsyslog, ces erreurs ont disparu de ma console: apt-get install rsyslog

1
tomputer