Pour le "bloquage" d'un compte apres x tentatives, utilise le petit script
suivant. Il permet d'extraire du log sshd les IP d'ou sont issues les
tentatives dans /etc/hosts.deny.
Il suffit d'écrire l'inverse, un petit script qui les retire apres 1h
C'est juste une piste à creuser!
#!/usr/bin/perl
# ips that shouldn't be banned
@safe = ('192.168.51.1','1.2.3.4');
# number of illegal users received in 1 minute that will trigger
# a bad login
$thresh = 3;
while (<STDIN>) {
if ($_ !~ /Illegal user/) { next; }
@line = split(' ', $_);
@hourmin = split(':', @line[2]);
if ("@line[0] @line[1] @hourmin[0] @hourmin[1] @line[9]" eq $remember &&
grep(/[EMAIL PROTECTED]/, @bans) eq 0 ) {
$found++;
if ($found eq ($thresh - 1)) {
$ip = substr(@line[9], 7);
print "$ip\n";
$| = 1;
push(@bans, @line[9]);
}
} else {
$found=0;
}
$remember = "@line[0] @line[1] @hourmin[0] @hourmin[1] @line[9]";
}
cat /var/log/secure | check_bad_login.pl
Xavier
--
Secret hacker rule #11: hackers read manuals.
On Wed, 25 Jan 2006, Thierry Leurent wrote:
> Bonsoir,
>
> Suite à ma question pour Solaris 2.6, merci pour l'aide ça fonctionne. Je me
> retrouve avec le même genre de problème avec un RH 9.0.
>
> Pour rappel, il faut forcer les passwords à 6 positions minimum, qu'ils
> soient
> changés tous les 6 mois et idéalement après 5 tentatives infructueuses le
> user devrait être bloqué une heure au moins.
>
> J'ai fouillé sur le net, dans les mans et au pif.
> j'ai trouvé 2 fichiers me gérer la stratégie des mots de passes login.defs
> et /etc/pam.d/passwd. /etc/pam.d/passwd me semble plus complet vu que l'on
> peut transmettre plus de paramètre à pam_cracklib dans ce cas.
>
> Je n'ai pas trouvé écrit "noir sur blanc" la priorité de l'un par rapport à
> l'autre et j'ai pas envie de l'essayer sur une machine de prod où plusieurs
> dizaines de personnes travaillent.
>
> Quelqu'un a-t-il l'expérience de cela ?
> Quand cela sera-t-il pris en compte ?
>
> Dans le cadre d'une connexion distante x-win32, vnc, ssh, .... Quelqu'un
> aurait-il déjà bloqué m minutes le login à un user après x tentatives de
> connexion infructueuse ?
>
>
> Merci
> Thierry
> _______________________________________________________
> Linux Mailing List - http://www.unixtech.be
> Subscribe/Unsubscribe: http://lists.unixtech.be/cgi-bin/mailman/listinfo/linux
> Archives: http://www.mail-archive.com/[email protected]
> IRC: chat.unixtech.be:6667 - #unixtech
> NNTP: news.gname.org - gmane.org.user-groups.linux.unixtech
> _______________________________________________________
Linux Mailing List - http://www.unixtech.be
Subscribe/Unsubscribe: http://lists.unixtech.be/cgi-bin/mailman/listinfo/linux
Archives: http://www.mail-archive.com/[email protected]
IRC: chat.unixtech.be:6667 - #unixtech
NNTP: news.gname.org - gmane.org.user-groups.linux.unixtech
