Wie kann ich die SSHD-Anmeldung nach einem falschen Passwort verzögern?

Wie kann ich die Wiederholungsantwort von SSH verzögern, wenn ein falsches Kennwort versucht wird oder der Anmeldeversuch fehlschlägt? Ich wollte, dass die Verzögerung 2-3 Sekunden länger als gewöhnlich ist.

Ich konnte keine Option in der Datei sshd_config finden, um dasselbe zu erreichen.

Kann mir jemand mitteilen, wie ich vorgehen soll?

Wenn Sie alle Benutzer blockieren und sogar root blockieren, können Sie diese Zeilen zu /etc/pam.d/password-authoder /etc/pam.d/sshdim Abschnitt auth hinzufügen, um alle Benutzer für 5 Minuten zu blockieren:

auth        required      pam_tally2.so  file=/var/log/tallylog deny=3 even_deny_root unlock_time=300

Fügen Sie nun die folgende Zeile zum Kontoabschnitt hinzu:

account     required      pam_tally2.so

Starten Sie Ihren sshd endgültig neu und es sollte funktionieren. Danach können Sie mit dem folgenden Befehl nach Fehleranmeldungen suchen: pam_tally2Sie erhalten diese Ausgabe:

# pam_tally2
Login           Failures Latest failure     From
userxy            4    12/10/13 09:52:31  192.168.100.100

Sie können versuchen, hinzuzufügen

auth       optional   pam_faildelay.so  delay=250000

zur pam-Konfigurationsdatei für sshd (In Debian-Systemen normalerweise in /etc/pam.d/sshd) Der Verzögerungswert von 250000 beträgt 0,25 Sekunden.

IPtables- Regeln können angepasst werden, um das zu erreichen, was Sie erreichen möchten .

Annahme: In Ihrem Embedded Linux ist das Netfilter-Modul kompiliert und vorausgesetzt, Sie kennen das Firewall-Konzept und haben zuvor iptables verwendet. Root-Zugriff wird angenommen. Wenn Sie sudo-fähig sind, fügen Sie sudo vor den Befehlen hinzu.

iptables -A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name DEFAULT --rsource

Die Syntax hat keine gewünschte Vebosität, aber die Zeile weist die Firewall-Polizei-Iptables an, dass Sie eine Regel an die vorhandene INPUT-Kette anhängen möchten. Das Argument -p tcp gibt an, dass diese Regel nur für TCP-Pakete gilt. Die meisten anderen Argumente basieren auf der Option -m, die für match steht und iptables mitteilt, dass die Regel für Pakete gilt, die den spezifischen Attributen entsprechen, nach denen wir suchen. Hier wird die Regel auf Pakete angewendet, die den Beginn neuer Verbindungen auf dem Weg zum TCP-Port 22 signalisieren. Wenn ein Paket diesen Attributen entspricht, notiert iptables die Adresse des Remote-Hosts in einer temporären Liste.

iptables -N LOG_AND_DROP

Die obige Regel führt tatsächlich eine Aktion mit einer anderen Kette aus. Um sie anzuhängen, müssen wir zuerst die Kette erstellen, die wir erstellt haben (z. B. LOG_AND_DROP).

iptables -A INPUT  -p tcp -m tcp --dport 22 -m state --state NEW -m recent --update --seconds 20 --hitcount 4 --name DEFAULT --rsource -j LOG_AND_DROP

Diese Regel weist iptables an, nach Paketen zu suchen, die den Parametern der vorherigen Regel entsprechen und die auch von Hosts stammen, die bereits zur Überwachungsliste hinzugefügt wurden. Wenn iptables ein Paket sieht, das von einem solchen Host kommt, wird der zuletzt gesehene Zeitstempel für diesen Host aktualisiert. Die Argumente --seconds 20 und --hitcount 4 werden verwendet, um die zu blockierenden Hosts weiter einzugrenzen. Wenn ein Host innerhalb von 60 Sekunden vier- oder mehrmals versucht, eine Verbindung herzustellen, stimmt er mit diesem Teil der Regel überein, und wir springen (-j) ) zur LOG_AND_DROP-Kette.

iptables -A INPUT  -p tcp -m tcp --dport 22 -j ACCEPT

Technisch gesehen ist diese Regel für die INPUT-Kette nicht erforderlich, da für alle nicht übereinstimmenden Pakete standardmäßig die Richtlinie ACCEPT festgelegt ist. Ausfallsicher, wenn Sie eine restriktive Firewall erstellen, z. B. Standard-Ablehnung.

Anhängen, nachdem Feedback von @singh erhalten wurde. Ich wusste nicht, dass der Staat zugunsten eines Techie-Conntrack-Moduls (Connectiontracking) vertrieben wurde

Anstelle von zB:

-m state --state RELATED

-m conntrack --ctstate RELATED