Lock login prompt screen

classic Classic list List threaded Threaded
8 messages Options
Reply | Threaded
Open this post in threaded view
|

Lock login prompt screen

Florian Blanc
Après le précédent sujet d'ailleurs,
Je souhaiterais savoir si vous connaissez une solution pour locker le login prompt système xorg/x11 pendant 5 minutes par exemple.
Je m'explique,
C'est pour éviter une attaque sur machine physique ou via IPMI ou VNC par exemple.
Merci les coupains.
Reply | Threaded
Open this post in threaded view
|

Re: Lock login prompt screen

Erwann Le Bras
bonjour

Fail2ban banni les utilisateurs selon le temps imparti, après un nombre
d'échecs de connexions défini.

de rien

Le 26/03/2019 à 11:16, Florian Blanc a écrit :
> Après le précédent sujet d'ailleurs,
> Je souhaiterais savoir si vous connaissez une solution pour locker le
> login prompt système xorg/x11 pendant 5 minutes par exemple.
> Je m'explique,
> C'est pour éviter une attaque sur machine physique ou via IPMI ou VNC
> par exemple.
> Merci les coupains.

Reply | Threaded
Open this post in threaded view
|

Re: Lock login prompt screen

Florian Blanc
Erwan comment tu fais ça ?
Un ban iptables ne sert à rien pour une action sur l'affichage.
Je souhaiterais juste désactiver les prompt login sur l'interface ou même l'interface elle même pendant 5 minutes par exemple. (Je parle de l'interface à l'écran branché en vga par exemple). 
Merci 


On Wed, Mar 27, 2019, 10:22 Erwann Le Bras <[hidden email]> wrote:
bonjour

Fail2ban banni les utilisateurs selon le temps imparti, après un nombre
d'échecs de connexions défini.

de rien

Le 26/03/2019 à 11:16, Florian Blanc a écrit :
> Après le précédent sujet d'ailleurs,
> Je souhaiterais savoir si vous connaissez une solution pour locker le
> login prompt système xorg/x11 pendant 5 minutes par exemple.
> Je m'explique,
> C'est pour éviter une attaque sur machine physique ou via IPMI ou VNC
> par exemple.
> Merci les coupains.

Reply | Threaded
Open this post in threaded view
|

Re: Lock login prompt screen

Eric Degenetais
A priori, fail2ban analyse les logs d'authentification, mais les actions possibles ne se limitent pas à des appels iptable : une action définit différents scripts appelés en réponse à des évènements (initialisation, blocage, déblocage, arrêt...).
Il est donc normalement possible de faire toutes sortes d'action en réponse une tentative de forçage.

Cordialement
______________
Éric Dégenètais
Henix

http://www.henix.com
http://www.squashtest.org


______________


Le mer. 27 mars 2019 à 11:48, Florian Blanc <[hidden email]> a écrit :
Erwan comment tu fais ça ?
Un ban iptables ne sert à rien pour une action sur l'affichage.
Je souhaiterais juste désactiver les prompt login sur l'interface ou même l'interface elle même pendant 5 minutes par exemple. (Je parle de l'interface à l'écran branché en vga par exemple). 
Merci 


On Wed, Mar 27, 2019, 10:22 Erwann Le Bras <[hidden email]> wrote:
bonjour

Fail2ban banni les utilisateurs selon le temps imparti, après un nombre
d'échecs de connexions défini.

de rien

Le 26/03/2019 à 11:16, Florian Blanc a écrit :
> Après le précédent sujet d'ailleurs,
> Je souhaiterais savoir si vous connaissez une solution pour locker le
> login prompt système xorg/x11 pendant 5 minutes par exemple.
> Je m'explique,
> C'est pour éviter une attaque sur machine physique ou via IPMI ou VNC
> par exemple.
> Merci les coupains.

Reply | Threaded
Open this post in threaded view
|

Re: Lock login prompt screen

Erwann Le Bras
In reply to this post by Florian Blanc

oui, cest vrai,fail2ban surveille les connexions distantes

c'est PAM qui fait ça. Voir https://www.tecmint.com/lock-user-accounts-after-failed-login-attempts-in-linux/

Le 27/03/2019 à 11:48, Florian Blanc a écrit :
Erwan comment tu fais ça ?
Un ban iptables ne sert à rien pour une action sur l'affichage.
Je souhaiterais juste désactiver les prompt login sur l'interface ou même l'interface elle même pendant 5 minutes par exemple. (Je parle de l'interface à l'écran branché en vga par exemple). 
Merci 


On Wed, Mar 27, 2019, 10:22 Erwann Le Bras <[hidden email]> wrote:
bonjour

Fail2ban banni les utilisateurs selon le temps imparti, après un nombre
d'échecs de connexions défini.

de rien

Le 26/03/2019 à 11:16, Florian Blanc a écrit :
> Après le précédent sujet d'ailleurs,
> Je souhaiterais savoir si vous connaissez une solution pour locker le
> login prompt système xorg/x11 pendant 5 minutes par exemple.
> Je m'explique,
> C'est pour éviter une attaque sur machine physique ou via IPMI ou VNC
> par exemple.
> Merci les coupains.

Reply | Threaded
Open this post in threaded view
|

Re: Lock login prompt screen

Florian Blanc
Je te remercie beaucoup Erwan ça ira très bien en complément à fail2ban.
Ça m'a l'air d'être exactement ce que je recherchais.
Je teste ça ce soir merci encore 🙏

On Wed, Mar 27, 2019, 14:59 Erwann Le Bras <[hidden email]> wrote:

oui, cest vrai,fail2ban surveille les connexions distantes

c'est PAM qui fait ça. Voir https://www.tecmint.com/lock-user-accounts-after-failed-login-attempts-in-linux/

Le 27/03/2019 à 11:48, Florian Blanc a écrit :
Erwan comment tu fais ça ?
Un ban iptables ne sert à rien pour une action sur l'affichage.
Je souhaiterais juste désactiver les prompt login sur l'interface ou même l'interface elle même pendant 5 minutes par exemple. (Je parle de l'interface à l'écran branché en vga par exemple). 
Merci 


On Wed, Mar 27, 2019, 10:22 Erwann Le Bras <[hidden email]> wrote:
bonjour

Fail2ban banni les utilisateurs selon le temps imparti, après un nombre
d'échecs de connexions défini.

de rien

Le 26/03/2019 à 11:16, Florian Blanc a écrit :
> Après le précédent sujet d'ailleurs,
> Je souhaiterais savoir si vous connaissez une solution pour locker le
> login prompt système xorg/x11 pendant 5 minutes par exemple.
> Je m'explique,
> C'est pour éviter une attaque sur machine physique ou via IPMI ou VNC
> par exemple.
> Merci les coupains.

Reply | Threaded
Open this post in threaded view
|

Re: Lock login prompt screen

Florian Blanc
Bonjour Erwann,
j'ai pas les mêmes noms de fichiers sur debian stretch alors, je t'avoue avoir tout de même testé, mais sans succès.
Je ne trouve pas de billets mentionnant ce type de procédés sur debian.
Merci


Le mer. 27 mars 2019 à 15:39, Florian Blanc <[hidden email]> a écrit :
Je te remercie beaucoup Erwan ça ira très bien en complément à fail2ban.
Ça m'a l'air d'être exactement ce que je recherchais.
Je teste ça ce soir merci encore 🙏

On Wed, Mar 27, 2019, 14:59 Erwann Le Bras <[hidden email]> wrote:

oui, cest vrai,fail2ban surveille les connexions distantes

c'est PAM qui fait ça. Voir https://www.tecmint.com/lock-user-accounts-after-failed-login-attempts-in-linux/

Le 27/03/2019 à 11:48, Florian Blanc a écrit :
Erwan comment tu fais ça ?
Un ban iptables ne sert à rien pour une action sur l'affichage.
Je souhaiterais juste désactiver les prompt login sur l'interface ou même l'interface elle même pendant 5 minutes par exemple. (Je parle de l'interface à l'écran branché en vga par exemple). 
Merci 


On Wed, Mar 27, 2019, 10:22 Erwann Le Bras <[hidden email]> wrote:
bonjour

Fail2ban banni les utilisateurs selon le temps imparti, après un nombre
d'échecs de connexions défini.

de rien

Le 26/03/2019 à 11:16, Florian Blanc a écrit :
> Après le précédent sujet d'ailleurs,
> Je souhaiterais savoir si vous connaissez une solution pour locker le
> login prompt système xorg/x11 pendant 5 minutes par exemple.
> Je m'explique,
> C'est pour éviter une attaque sur machine physique ou via IPMI ou VNC
> par exemple.
> Merci les coupains.

Reply | Threaded
Open this post in threaded view
|

Re: Lock login prompt screen

Florian Blanc
Ok pour ceux que ça intéresse, la solution sur debian stretch est la suivante :
Editer le fichier /etc/pam.d/common-auth et ajouter cette ligne :
auth    required                        pam_tally2.so onerr=fail deny=3 unlock_time=600 audit even_deny_root root_unlock_time=600

comme ceci :
# here are the per-package modules (the "Primary" block)
auth    required                        pam_tally2.so onerr=fail deny=3 unlock_time=600 audit even_deny_root root_unlock_time=600
auth    [success=1 default=ignore]      pam_unix.so nullok_secure
# here's the fallback if no module succeeds
auth    requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth    required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config

that's all merci beaucoup :)

Le jeu. 28 mars 2019 à 15:15, Florian Blanc <[hidden email]> a écrit :
Bonjour Erwann,
j'ai pas les mêmes noms de fichiers sur debian stretch alors, je t'avoue avoir tout de même testé, mais sans succès.
Je ne trouve pas de billets mentionnant ce type de procédés sur debian.
Merci


Le mer. 27 mars 2019 à 15:39, Florian Blanc <[hidden email]> a écrit :
Je te remercie beaucoup Erwan ça ira très bien en complément à fail2ban.
Ça m'a l'air d'être exactement ce que je recherchais.
Je teste ça ce soir merci encore 🙏

On Wed, Mar 27, 2019, 14:59 Erwann Le Bras <[hidden email]> wrote:

oui, cest vrai,fail2ban surveille les connexions distantes

c'est PAM qui fait ça. Voir https://www.tecmint.com/lock-user-accounts-after-failed-login-attempts-in-linux/

Le 27/03/2019 à 11:48, Florian Blanc a écrit :
Erwan comment tu fais ça ?
Un ban iptables ne sert à rien pour une action sur l'affichage.
Je souhaiterais juste désactiver les prompt login sur l'interface ou même l'interface elle même pendant 5 minutes par exemple. (Je parle de l'interface à l'écran branché en vga par exemple). 
Merci 


On Wed, Mar 27, 2019, 10:22 Erwann Le Bras <[hidden email]> wrote:
bonjour

Fail2ban banni les utilisateurs selon le temps imparti, après un nombre
d'échecs de connexions défini.

de rien

Le 26/03/2019 à 11:16, Florian Blanc a écrit :
> Après le précédent sujet d'ailleurs,
> Je souhaiterais savoir si vous connaissez une solution pour locker le
> login prompt système xorg/x11 pendant 5 minutes par exemple.
> Je m'explique,
> C'est pour éviter une attaque sur machine physique ou via IPMI ou VNC
> par exemple.
> Merci les coupains.