Eyda1988
Anmeldungsdatum: 5. Januar 2018
Beiträge: 26
|
Hallo Zusammen,
gibt es eine Möglichkeit User zu sperren die sich an der lokalen GUI anmelden wollen, aber z.B. fünf mal das falsche Passwort eingegeben haben? Like Fail2Ban für die lokale GUI Anmeldung.
Denkbar wäre dann zum Beispiel, dass nur ein sudo User ihn wieder entsperren kann. Auch zusätzliche Software könnte hierbei für mich interessant sein. Jedoch nur wenn sie den OpenSource Gedanken nutzt. Danke an euch.
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
Ähm, wenn es das gibt, kann man sich damit richtig hübsch das System zunageln 😀 Da muss dann einfach nur ein Scherzkeks alle bekannten Konten "durchprobieren" (die ja im grafischen welcome-login angezeigt werden) und auf der Kiste ist dann kein login mehr möglich. Also müsstest du zB root oder einen anderen User erstellen/aktivieren und den von der Überwachung rausnehmen.
|
Eyda1988
(Themenstarter)
Anmeldungsdatum: 5. Januar 2018
Beiträge: 26
|
Das wäre die eine Möglichkeit oder via SSH den Zugang für einen sudo User offen belassen.
Für mich stellt sich die grundlegende Frage der Möglichkeit .Vor und Nachteile muss man dann ggf. weiter verarbeiten.
|
Kellerkind_2009
Anmeldungsdatum: 26. November 2009
Beiträge: 19610
Wohnort: Schleswig-Holstein
|
Lesenswert wäre hier cat /etc/security/limits.conf
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
Kellerkind_2009 schrieb: Lesenswert wäre hier cat /etc/security/limits.conf
Lässt sich damit die Anzahl der Fehlversuche (live) ermitteln? Das war ja gefragt. Ich hab da auf die Schnelle nur zB Begrenzung der Anzahl der Logins gesehen, man kann ja normalerweise durchaus öfter als 1x eingeloggt sein. Ich kenn fail2ban zwar, hab damit aber keine praktische Erfahrung, soweit ich weiß aber schaut es regelmäßig in /var/log/auth nach fehlgeschlagenen logins und handelt dann entsprechend. Lässt sich fail2ban nicht auch so konfigurieren, dass es statt nach fehlgeschlagenen SSH-Logins nach anderen fehlgeschlagenen Anmeldeversuchen schaut und dann den User sperrt zB per passwd --lock?
|
Eyda1988
(Themenstarter)
Anmeldungsdatum: 5. Januar 2018
Beiträge: 26
|
In der Limit.conf habe ich dergleichen nichts gefunden... Tatsächlich habe ich daran schon gedacht Fail2ban dafür nutzen zu können. Jedoch fehlt mir das Know-how es umzuschreiben. Jemand vielleicht damit mehr Erfahrung?
Mich wundert es, dass es hierfür nichts Einfacheres geben soll. Gefunden habe ich Etwas...Nur deuten oder darauf aufbauen fällt mir schwer:
https://books.google.de/books?id=ePsdBAAAQBAJ&pg=PA523&lpg=PA523&dq=login+f%C3%BCr+user+nach+fehlversuch+sperren+debian+-ssh&source=bl&ots=4ELyxSARVW&sig=ukcg_KKMtO3-lmq139EF56wKrfI&hl=de&sa=X&ved=0ahUKEwio3czx5rTaAhWCLFAKHV1tCokQ6AEITjAE#v=onepage&q=login%20f%C3%BCr%20user%20nach%20fehlversuch%20sperren%20debian%20-ssh&f=false
|
ThomasKrichel
Anmeldungsdatum: 25. März 2011
Beiträge: 184
Wohnort: /root
|
Eyda1988 schrieb: Hallo Zusammen,
gibt es eine Möglichkeit User zu sperren die sich an der lokalen GUI anmelden wollen, aber z.B. fünf mal das falsche Passwort eingegeben haben? Like Fail2Ban für die lokale GUI Anmeldung.
Darf man fragen was du damit bezwecken willst? 😕 Ich verstehe nie so ganz, warum jemand man versuchen will eine Sicherheitsbarriere zu errichten, die sich (im schwierigsten Fall) umgehen lässt in dem man einen USB-Stick / eine CD bootet - kurz gesagt: die keinerlei Sicherheit bietet. Vor lokalem Zugriff schützt kein Anmeldepasswort der Welt, sondern nur Verschlüsselung.
|
fleet_street
Top-Wikiautor
Anmeldungsdatum: 30. August 2016
Beiträge: 2143
Wohnort: Hunsrück
|
+1 Aber die Antwort findet sich z. B. im aktuellen Heft von Linux User im Artikel Su und Sudo - auch frei erhältlich als Community Edition: EPUB oder PDF. Wenn es da schon vorgemacht wird. 😉
|
fleet_street
Top-Wikiautor
Anmeldungsdatum: 30. August 2016
Beiträge: 2143
Wohnort: Hunsrück
|
Würde vorigen Beitrag gerne editieren (aber ich habe zwischen zwischenzeitlich eine neue IP erhalten, weil unsere Telefonleitung ein Problem mit der Erde hat ☹ ) Ich widerrufe: Der Kontext ist definitiv falsch, es ging ja um Anmeldung an der GUI. Sorry.
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
ThomasKrichel schrieb: Vor lokalem Zugriff schützt kein Anmeldepasswort der Welt, sondern nur Verschlüsselung.
Es wäre zumindest eine weitere Hürde. Und es wäre auch denkbar, den Rechner vor physischem Zugang zu schützen. Die Verschlüsselung bringt dir auch nix, wenn man physischen Zugang zum Rechner hat. Da ließe sich ja irgendwann unbemerkt ein Hardwarekeylogger einstecken und wenn die Gelegenheit wieder günstig ist, entfernen und auslesen. Ich würde eine andere Strategie nehmen, nämlich sichere Passwörter erzwingen. Dann wird aus Ausprobieren an der GUI irgendwann zu lästig und auffällig.
|
ThomasKrichel
Anmeldungsdatum: 25. März 2011
Beiträge: 184
Wohnort: /root
|
cosinus schrieb: Es wäre zumindest eine weitere Hürde.
Nö, wäre es nicht. Egal ob Linux, Windows oder Mac... ein Passwortreset, ohne das alte zu kennen, ist sehr einfach und erfordert keine großen Computerkenntnisse. Gibt ja sogar genügend Schritt für Schritt Anleitungen im Internet. Noch dazu ist ein Passwortreset ja nicht mal notwendig, da man von einem Live-System aus alle Daten die unverschlüsselt auf der Festplatte liegen einfach runterkopieren kann - samt gespeicherter Browserpasswörter etc. Die Verschlüsselung bringt dir auch nix, wenn man physischen Zugang zum Rechner hat. Da ließe sich ja irgendwann unbemerkt ein Hardwarekeylogger einstecken und wenn die Gelegenheit wieder günstig ist, entfernen und auslesen. Ich würde eine andere Strategie nehmen, nämlich sichere Passwörter erzwingen. Dann wird aus Ausprobieren an der GUI irgendwann zu lästig und auffällig.
Und inwiefern schützt das erzwingen sicherer Passwörter vor einem Hardware Keylogger?! 🙄
|
Eyda1988
(Themenstarter)
Anmeldungsdatum: 5. Januar 2018
Beiträge: 26
|
Guten Morgen Vorab natürlich die Antwort auf die Frage: Darf man fragen was du damit bezwecken willst? 😕
Es geht hierbei um ein Audithpunkt, welchen ich nicht gern verschenken würde. Auch Alternativen wie sichere Passwörter oder physikalischer Zuagnag sind hier keine Argumente, da sie selber auch Audith Punkte darstellen. Scheint keine triviale Frage zu sein....Bzw. scheint es von Haus aus keine Möglichkeit zu geben.
Notfalls muss ich mir was einfallen lassen. Oder hat noch jemand einen Ansatz auf dem man aufbauen kann?
|
seahawk1986
Anmeldungsdatum: 27. Oktober 2006
Beiträge: 11179
Wohnort: München
|
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
ThomasKrichel schrieb: cosinus schrieb: Es wäre zumindest eine weitere Hürde.
Nö, wäre es nicht. Egal ob Linux, Windows oder Mac... ein Passwortreset, ohne das alte zu kennen, ist sehr einfach und erfordert keine großen Computerkenntnisse. Gibt ja sogar genügend Schritt für Schritt Anleitungen im Internet.
Nicht wenn man das Booten von anderen Medien unterbindet und GRUB absichert. Ansonsten erklär mir mal wie man das dann macht OHNE den Rechner aufzuschrauben...
Und inwiefern schützt das erzwingen sicherer Passwörter vor einem Hardware Keylogger?! 🙄
Hab ich das irgendwo behauptet? Nein? Also was soll diese Frage? Ich hab doch in meinem letzten Beitrag gleich in die erste Zeile geschrieben, dass man den Rechner auch vor physikalischem Zugriff schützen muss, die Verschlüsselung ALLEIN BRINGT DIR nicht viel. Sie wäre auch nur eine weitere Hürde.
Sichere Passwörter würden aber genau das bringen, was der TO vorhat, nämlich, dass sich ein Unbefugter nicht bzw nicht so schnell in ein Benutzerkonto einloggen kann.
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
Eyda1988 schrieb: Scheint keine triviale Frage zu sein....Bzw. scheint es von Haus aus keine Möglichkeit zu geben.
Notfalls muss ich mir was einfallen lassen. Oder hat noch jemand einen Ansatz auf dem man aufbauen kann?
Wie du vllt mitbekommen hast, muss der Rechner auch physikalisch geschützt werden. Sobald jmd daran herumschrauben oder was ranstecken kann, kann er sämtliche Maßnahmen umgehen.
|