最大再試行を無視するPAMサービス(sshd)


32

Webサーバーを実行するために使用するvpsがありますが、現在はubuntuサーバー12.04を実行しています。数週間以来、sshコンソールで多くのエラーが発生し続けています。

2014 Apr 11 08:41:18 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:21 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:24 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:25 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:26 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:29 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:29 vps847 PAM service(sshd) ignoring max retries; 6 > 3

誰かがこれらのエラーの意味を教えてください。または、少なくともこれらのエラーを無効にする方法を教えてください。私がsshで作業しているとき、それは本当にいらいらします。これらのエラーは画面全体にポップアップし続けます。

回答:


40

PAM「retry = 3」で設定されており、同じセッション内のsshdからのそれ以降の認証要求を無視することを通知しています。SSHただし、MaxAuthTries設定(デフォルトは6)を使い果たすまで試行を続けます。

最大の再試行回数を得るには、おそらくこれらの両方(SSHとPAM)を同じ値に設定する必要があります。

更新しました

この動作を変更するには:

以下のためのsshdあなたの編集/etc/ssh/sshd_configとセットMaxAuthTries 3。また、設定を有効にするためにSSHサーバーを再起動します。

についてはPAM/etc/pam.dディレクトリ(common-passwordUbuntu のファイルだと思います)で設定を探す必要があり、retry=値を変更する必要があります。

注: SSHが総当たり攻撃される可能性があるため、これらのリクエストの理由に関するPeter Hommelの回答も確認することを強くお勧めします。


ありがとう、問題はMaxAuthTries 3ssh構成に追加してからサーバーを再起動することで修正されました。
Jerodev 14

41

他の答えはあなたが得たエラーメッセージを除去するのに正しいですが、このエラーメッセージは別の根本的な問題の症状であるかもしれないと考えてください。

これらのメッセージは、システム上でsshを介したログイン試行の失敗が多いために表示されます。あなたのボックスにブルートフォースしようとしている人がいるかもしれません(私のシステムで同じメッセージを受け取ったときはそうでした)。var/log/auth.log研究のために読んでください...

この場合、「fail2ban」(sudo apt-get install fail2banUbuntuの場合)などのツールのインストールを検討する必要があります。システムのログファイルを自動的に読み取り、失敗した複数のログイン試行を検索し、iptablesを介して設定可能な時間、悪意のあるクライアントをブロックします。


4
これはとてもいいコメントです。これに出くわすかもしれない人のために、あなたの答えも読むように、私の答えをメモで更新しました。
フープ14年

5

上記の分析は完全には正しくないようです。pam認証のretry =オプションはないようです(pam_cracklibのオプションを見つけましたが、それはpamの「auth」セクションの認証ではなく、「password」セクションのパスワードの変更のみに関するものです)。代わりに、pam_unixには組み込みの最大再試行回数3が含まれています。3回の再試行後、pamはPAM_MAXRETRIESエラーコードを返し、sshdに通知します。

この場合、独自のMaxAuthTriesに関係なく、sshdは実際に試行を停止する必要があります。バグではないと思います(opensshで報告したばかりです)。

そのバグが修正されるまで、MaxAuthTriesを3以下に設定することが、このメッセージが表示されないようにする唯一の方法のようです。


バグはバージョン7.3p1で修正されたようです
Dennis Nolte

3

sshクライアントは、1つ以上のキーで認証を試みる場合があります。authorized_keysにリストされていないキーはすべて失敗し、sshdの再試行の1つが消費されます。クライアントは、成功するかすべて失敗するまで、持っているすべてのsshキーを試行します。そのため、sshdを使用して複数のsshキーを試すことができます。

一致するキーがない場合、sshdでパスワードを試すことができます。これらの各試行は、sshdの許可された再試行のいずれかを消費します。ただし、PAMで許可されている再試行の1つも消費します。

したがって、6回のssh認証試行と3回のpam認証試行の組み合わせは良いことです。つまり、sshは合計6回の認証試行(キーまたはパスワード)を許可しますが、パスワードの試行は3回のみです。

他の人が言ったように、ログでこれらを頻繁に見ると、誰かがシステムに強引に侵入しようとしています。fail2banを使用して、これらの試行の発信元であるIPアドレスからのパケットを完全にブロックすることを検討してください。


1

Debian 6からDebian 7にアップグレードした後、同じトラブルに遭遇しました。突然、これらのsshdエラーがコンソールに表示されました。

2014 Oct 15 13:50:12 vps456 PAM service(sshd) ignoring max retries; 6 > 3
2014 Oct 15 13:50:17 vps456 PAM service(sshd) ignoring max retries; 6 > 3
2014 Oct 15 13:50:18 vps456 PAM service(sshd) ignoring max retries; 6 > 3

私の場合、問題はrsyslogDebianのアップグレード後にインストールされなくなったことです。

rsyslogをインストールした後、これらのエラーはコンソールから消えました: apt-get install rsyslog


3
これにより、コンソールではなく別の場所にのみ表示されます。私の答えは、アップグレード後のSSH / PAMの構成ミスによるエラーの原因を修正します。
フープ14年

-1

確かにコンソールでそれらの通知を取得するのは面倒かもしれませんが、昨日ログファイルで、中国のIPアドレス、カリフォルニアのクラウドサービスからの2670、または...その他、私は心配しません。ユーザーrootは、私のマシンではまったくログインできません。何回試行しても。

彼らがログインできるユーザー名を試し始めたら、それは別の問題になりますが、良いパスワードがあれば、そこにもリスクはありません。(暗号化キーとは異なり)ログインパスワードは非常に高速にしか試行できません。

fail2banのようなものを使用すると、何も買わない不必要な複雑さ(良いパスワードを持っている場合)に見えます。スロットルの試みは、sshdが実装すべきものであり、アドオンやsshdを必要とするものではありません。スロットルスロットル試行を行います。良い。

-kb、良いパスワードのみを使用し、異なるサイト間で決してリサイクルしないケント。


2
sshキーを使用してパスワードを無効にすることは、ブルートフォース攻撃の成功を防ぐ上でさらに優れています。
HBruijn 14

はい。しかし、問題はsshキーの保護に移ります。彼らはどこにいる?暗号化されていますか?キーはどれだけそれらを保護しますか?X年の試行でパスワードを解読できない場合、X年の試行でパスワードを解読できない場合、「より良い」ものは何のために必要ですか?私はパスワードの管理に多くの時間を費やし、それらを入力することができます。その多くは覚えています。しかし、sshキーの束?それらを維持するために安全な場所が必要です。
ケントボルグ

2
パスワードをブルートフォース(通常は20文字未満で、選択頻度が多すぎる)は、1024ビットの秘密キー(128文字のパスワードに相当するものを単純化)をブルートフォースしてSSH経由でアクセスするよりもはるかに簡単です。リンゴとリンゴの比較に固執しましょう。--完全なバカ(たとえば、公開githubに秘密キーを保存する)でない限り、ワークステーションを離れる必要がないため、sshの秘密キーを取得することは困難です。あなたの秘密鍵は、我々は、ランダムな攻撃にもはやなら妥協しませんが、標的型攻撃の領域...入力されたら
HBruijn

@KentあなたはSSHキーをパスワードで保護できることを知っていますか?また、fail2banは不要であると言いますが、SSH自体にこの機能を実装することを提案し続けます。また、リクエストをブロックしないと、システムをより簡単にDDoSできます。
フープ14年
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.