SSH를 통해 실패한 로그인 검색 및 처리
Unix용 는 Unix 시스템에 대한 무작위 대입 공격을 방지하기 위해 호스트에서 실패한 사용자 로그온 검색 및 사용자 ID 해지 기능을 제공합니다.
cminder12902kr
Unix용
Privileged Identity Manager
는 Unix 시스템에 대한 무작위 대입 공격을 방지하기 위해 호스트에서 실패한 사용자 로그온 검색 및 사용자 ID 해지 기능을 제공합니다. serevu
이 항목에서는 SSH에서 발생한 로그인 실패를 검색 및 처리하도록
Privileged Identity Manager
를 구성하는 방법에 대해 설명합니다. 또한 이 항목은 PAM(Pluggable Authentication Modules), seosd, and
serevu
및 SSH를 통해 실패한 로그인 사이의 데이터 흐름을 이해하는 데 도움이 됩니다.다음 단계를 수행하십시오.
- PAM을 사용하는 응용 프로그램을 통해 발생한 로그인 실패를 검색하도록모듈을 구성합니다. PAM은 Unix에서 사용하는 기본 인증 하위 시스템입니다.serevu가 PAM과 함께 작동할 수 있게 하려면 seos.ini 구성 파일에 다음 토큰을 설정합니다.serevu[pam_seos]serevu_use_pam_seos = yes
- 인증에 PAM을 사용하도록를 구성하려면 /etc/opt/ssh/sshd_config에 다음 토큰을 설정합니다.sshdUsePAM yes이 구성을 사용하면sshd데몬이 PAM 시스템에 실패한 로그인이 발생했음을 알릴 수 있습니다.
- 다음 행을 /etc/pam.conf에 추가하여Privileged Identity Manager가 sshd에서 오는 PAM 신호를 차단하도록 설정되었는지 확인합니다.sshd auth optional /usr/lib/security/pam_seos.sl
- 로컬seosdb가sshd에 대한loginappl레코드를 보유하고 있는지 확인합니다. Selang에서 다음 행을 추가합니다.AC> nr loginappl SSHD loginpath(/usr/sbin/sshd) loginseq(SGRP SUID) defaccess(x)이제 /opt/CA/AccessControl/log/pam_seos_failed_logins.log 파일을 검토하여 SSH 클라이언트에서 나타난 실패한 로그인을 찾을 수 있습니다.이 구성이 완료된 후 데이터 흐름은 다음과 같습니다.
- sshd가 실패한 로그인이 발생했음을 PAM에 알립니다.
- Privileged Identity Manager가 이 PAM 신호를 차단하고 pam_seos_failed_logins.log에 정보를 기록합니다.
- serevu가 주기적으로 해당 로그를 검색하고 적절한 작업을 수행합니다.
- 해지되기 전에 각 사용자에게 허용되는 실패한 로그인 횟수는 seos.ini에서 설정할 수 있습니다.[serevu]def_fail_count = 3
- seload가 실행될 때 자동으로serevu를 시작하려면 다음 코드를 seos.ini에 추가합니다.[daemons]<>serevu = yes