Linux security

[lifemanship]

Народ, извиняй те за тупой вопрос, но не знает ли кто
из вас как залочить (lockout) наглого товарища, который
не зная пароля но зная имя пользователя пытается его
подобрать!!!
----------------------
RED HATE 7.3

 

[KeeperMan]

Инфы мало. Каким образом он пытается подобрать пароль. Имеет ли он непосредственный доступ к компу или по сети по какому-либо протоколу пытается подконнектится...

 

[lifemanship]

Вот отлично, мне даже ответили. хотя и частично!!!
-стих-
Тут как раз все просто, Товарищ пытается вломится прямо с
компа соответсвтенно имеет непосредственный доступ. Ну а мне конечно хотелось бы какое-либо действо на этот случай забиндить, например:
-> 8 подходов для user: root и не угадал ни одной буквы в
слове password!!!
<- с нашей стороны например init 0.
-----------------
RAD HAT 7.3 Advanced Server 3.0 Ядро 2.4.24
кажись так(насечЁт ядра точно не помню оно на работе
чила 3-го уточню).

 

[KeeperMan]

Мдям. Я бы наверное популярно ему объяснил, что это делать не хорошо
Вопрс еще один, насколько хорошо товарищ шарит в Линуксе? Может сделать все проще. При логине (если он графический), просто скрыть пользователя рут?
Если это не подойдет, то надо еще немного подумать

 

[lifemanship]

1) Товарищ, о котором идет речь, разбирается в Луниксе, как свинья в алмазах.

2) Я тут что-то нарыл в доках, есть файл /etc/login.defs, а в нем есть вот что:
#FAIL_DELAY 3
#Delay in seconds before being allowed another attempt after a login failure.
#FAILLOG_ENAB yes
#Enable logging and display of /var/log/faillog login failure info.
#LOGIN_RETRIES 5
#Max number of login retries if password is bad.

Попробовал установить FAIL_DELAY 15, но что-то ничего неизменилось.
Может FAIL_DELAY работает только при установке LOGIN_RETRIES?

3) "При логине (если он графический), просто скрыть пользователя рут?"
Да логин графический.
Но.
-Будет ли работать это если пользователь не рут?
-Появиться ли этот пользователь при следующей перезагрузке?
-И очень важно, что бы мне потом не пришлось из 'linux rescue' загружаться,
восстанавливать вход в систему.

4) Ну и просто, Я хотел узнать можно ли не программным путем в LINUX'e
повесить, на попытки вломится локально на хост, какой-ть скрипт или команду.
---------------
В инете полно инфы о НСД(несанкционир. доступ) насчет взлома, и почти ничего
Я не нашел о методах зашиты в Linux'e.

 

[lifemanship]

KeeperMan, скажи Мне, как скрыть хотя бы пользователя рут.

 

[KeeperMan]

lifemanship,
В KDE "Настройка своего рабочего стола">"Система">"Менеджер входа в систему" и во вкладке "пользователи" все поймешь... Но тогда ты сможешь логиниться только в консоли. Так что лучше копай с /etc/login.defs
Для затравки
_http://cisco.opennet.ru/man.shtml?topic=login.defs&category=5&russian=0
_http://cs.mipt.ru/docs/comp/rus/os/unix/admin/lasgr/file.htm#/etc/securetty

Зы. Я так понял, что этот файл только для удаленного доступа важен

 

[x0ider]

Ты звал... Я пришел...
Короче все делаем правильно надо настроить PAM 3 раза ввел не правильно : отдыхай.

В /etc/pam.d/system-auth
пишем
цитата:
password required pam_cracklib.so retry=3 minlen=12 difok=3
password required pam_unix.so use_authtok nullok md5

Итак, что это за загадочные письмена? первая строка загружает модуль PAM, который осуществляет первичную проверку пароля, запрашивает ввод нового пароля длиной как минимум 12 символов, отличающегося не менее чем на 3 символа от старого пароля и разрешает предпринимать 3 попытки.
agadou10

 

[x0ider]

Вот отлично, мне даже ответили. хотя и частично!!!
-стих-
Тут как раз все просто, Товарищ пытается вломится прямо с
компа соответсвтенно имеет непосредственный доступ. Ну а мне конечно хотелось бы какое-либо действо на этот случай забиндить, например:
-> 8 подходов для user: root и не угадал ни одной буквы в
слове password!!!
<- с нашей стороны например init 0.
-----------------
RAD HAT 7.3 Advanced Server 3.0 Ядро 2.4.24
кажись так(насечЁт ядра точно не помню оно на работе
чила 3-го уточню).

А еще можно клавиатуру оторвать и унести домой

 

[lifemanship]

to x0ider спасибо за ответ про pam демона.
Только зачем ты в последнем ответе:
"А еще можно клавиатуру оторвать и унести домой"
написал???

 

[x0ider]

Тоже выход Это же самая серьезная защита от локальных посягательств
А Login_retries раскоментировать пробовал? У меня когда-то стоял РХ7.3 там такая вещь работала даже кажется из коробки. Не помню чем, но какой-то приблудой это настраивалось...