web-dev-qa-db-ja.com

最大再試行を無視するpamサービス(sshd)

私はウェブサーバーを実行するために使用するvpsを持っています。現在、ubuntuサーバー12.04を実行しています。数週間以来、私はsshコンソールで多くのエラーを出し続けています。

2014 Apr 11 08:41:18 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:21 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:24 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:25 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:26 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:29 vps847 PAM service(sshd) ignoring max retries; 6 > 3
2014 Apr 11 08:41:29 vps847 PAM service(sshd) ignoring max retries; 6 > 3

誰かがこれらのエラーの意味を教えてください。または、少なくともこれらのエラーを無効にする方法を教えてください。私がsshで作業しているときに本当に迷惑です。これらのエラーが画面全体にポップアップ表示され続けます。

33
Jerodev

PAMは、「retry = 3」で構成されており、同じセッション内のsshdからの以降の認証要求を無視することを通知しています。ただし、SSHは、MaxAuthTries設定(デフォルトでは6)に達するまで試行を続けます。

最大の認証再試行のために、おそらく両方(SSHとPAM)を同じ値に設定する必要があります。

更新済み

この動作を変更するには:

sshdの場合、/etc/ssh/sshd_configを編集してMaxAuthTries 3を設定します。また、SSHサーバーを再起動して設定を有効にします。

PAMの場合、/etc/pam.dディレクトリ(Ubuntuではcommon-passwordファイルだと思います)で構成を探す必要があります。retry=の値を変更する必要があります。

注: SSHがブルートフォースされている可能性があるため、これらのリクエストの理由に関するPeter Hommelの回答も確認することを強くお勧めします。

40
phoops

表示されたエラーメッセージを排除することで他の回答は正しいですが、このエラーメッセージは別の根本的な問題の症状である可能性があることを考慮してください。

システムでsshを介したログイン試行が失敗することが多いため、これらのメッセージが表示されます。誰かがあなたのボックスにブルートフォースを仕掛けようとしている可能性があります(私が私のシステムで同じメッセージを受け取った場合がそうでした)。あなたのvar/log/auth.log研究用...

この場合は、 'fail2ban'(Sudo apt-get install fail2ban(Ubuntu)。システムのログファイルを自動的に読み取り、失敗した複数のログイン試行を検索し、悪意のあるクライアントをiptables経由で構成可能な時間ブロックします...

42
Peter Hommel

上記の分析は完全に正しくないようです。 pam認証にはretry =オプションがないようです(pam_cracklibのオプションは見つかりましたが、pamの「auth」セクションの認証ではなく、「password」セクションのパスワードの変更のみに関係しています)。代わりに、pam_unixには、最大3回の再試行が組み込まれています。3回の再試行後、pamはPAM_MAXRETRIESエラーコードを返し、これをsshdに通知します。

この場合、sshdは独自のMaxAuthTriesに関係なく、実際に試行を停止する必要があります。そうではありません。これはバグだと思います(私は opensshで報告しただけです )。

このバグが修正されるまで、MaxAuthTriesを<= 3に設定することが、このメッセージが表示されないようにする唯一の方法のようです。

5

Sshクライアントは、1つ以上の鍵で認証を試みる場合があります。 authorized_keysにリストされていないキーはすべて失敗し、sshdの再試行の1つを消費します。クライアントは、1つが成功するか、すべてが失敗するまで、持っているすべてのsshキーを試します。そのため、sshdでいくつか試してみるのは良いことです。

一致するキーがない場合、sshdはパスワードの試行を許可する場合があります。これらの各試行は、sshdで許可されている再試行の1つも消費します。ただし、PAMで許可されている再試行の1つも消費します。

したがって、6回のssh認証試行と3回のpam認証試行の組み合わせは良いことです。つまり、sshは合計6回の認証試行(キーまたはパスワード)を許可しますが、3回のパスワード試行のみを許可します。

他の人が言ったように、ログにこれらが頻繁に表示される場合、誰かがブルートフォースでシステムに侵入しようとしています。 fail2banを使用して、これらの試行が発生したIPアドレスからのパケットを完全にブロックすることを検討してください。

3
Bill

Debian 6からDebian 7にアップグレードした後、同じ問題に遭遇しました。突然、これらのsshdエラーがコンソールに表示されました。

2014 Oct 15 13:50:12 vps456 PAM service(sshd) ignoring max retries; 6 > 3
2014 Oct 15 13:50:17 vps456 PAM service(sshd) ignoring max retries; 6 > 3
2014 Oct 15 13:50:18 vps456 PAM service(sshd) ignoring max retries; 6 > 3

私の場合、問題は、Debianのアップグレード後にrsyslogがインストールされなくなったことです。

Rsyslogをインストールした後、これらのエラーがコンソールから消えました:apt-get install rsyslog

1
tomputer