SSH를 통해 실패한 로그인 검색 및 처리

Unix용 는 Unix 시스템에 대한 무작위 대입 공격을 방지하기 위해 호스트에서 실패한 사용자 로그온 검색 및 사용자 ID 해지 기능을 제공합니다. 
cminder12901kr
Unix용 
Privileged Identity Manager
는 Unix 시스템에 대한 무작위 대입 공격을 방지하기 위해 호스트에서 실패한 사용자 로그온 검색 및 사용자 ID 해지 기능을 제공합니다. 
serevu
 모듈을 사용하면 사용자 ID 해지 및 이후 해지된 ID 재활성화(선택 사항) 작업을 쉽게 할 수 있습니다.  
이 항목에서는 SSH에서 발생한 로그인 실패를 검색 및 처리하도록 
Privileged Identity Manager
를 구성하는 방법에 대해 설명합니다. 또한 이 항목은 PAM(Pluggable Authentication Modules),
seosd, and
serevu
 및 SSH를 통해 실패한 로그인 사이의 데이터 흐름을 이해하는 데 도움이 됩니다.
다음 단계를 수행하십시오.
  1. PAM을 사용하는 응용 프로그램을 통해 발생한 로그인 실패를 검색하도록
    serevu
     모듈을 구성합니다. PAM은 Unix에서 사용하는 기본 인증 하위 시스템입니다.
    serevu
    가 PAM과 함께 작동할 수 있게 하려면 seos.ini 구성 파일에 다음 토큰을 설정합니다.
    [pam_seos]
    serevu_use_pam_seos = yes
  2. 인증에 PAM을 사용하도록 
    sshd
    를 구성하려면 /etc/opt/ssh/sshd_config에 다음 토큰을 설정합니다.
    UsePAM yes
    이 구성을 사용하면 
    sshd
     데몬이 PAM 시스템에 실패한 로그인이 발생했음을 알릴 수 있습니다.
  3. 다음 행을 /etc/pam.conf에 추가하여 
    Privileged Identity Manager
    가 sshd에서 오는 PAM 신호를 차단하도록 설정되었는지 확인합니다.
    sshd auth optional /usr/lib/security/pam_seos.sl
  4. 로컬
    seosdb
    가 
    sshd
    에 대한
    loginappl
    레코드를 보유하고 있는지 확인합니다. Selang에서 다음 행을 추가합니다.
    AC> nr loginappl SSHD loginpath(/usr/sbin/sshd) loginseq(SGRP SUID) defaccess(x)
    이제 /opt/CA/AccessControl/log/pam_seos_failed_logins.log 파일을 검토하여 SSH 클라이언트에서 나타난 실패한 로그인을 찾을 수 있습니다.
    이 구성이 완료된 후 데이터 흐름은 다음과 같습니다.
    1. sshd
      가 실패한 로그인이 발생했음을 PAM에 알립니다.
    2. Privileged Identity Manager
      가 이 PAM 신호를 차단하고 pam_seos_failed_logins.log에 정보를 기록합니다.
    3. serevu
      가 주기적으로 해당 로그를 검색하고 적절한 작업을 수행합니다.
  5. 해지되기 전에 각 사용자에게 허용되는 실패한 로그인 횟수는 seos.ini에서 설정할 수 있습니다.
    [serevu]
    def_fail_count = 3
  6. seload
    가 실행될 때 자동으로 
    serevu
    를 시작하려면 다음 코드를 seos.ini에 추가합니다.
    [daemons]<>
    serevu = yes