emond me mantiene bloqueado fuera de mi servidor a través de SSH

3

He estado luchando con Emond (y quizás después) toda la tarde, y estoy tratando de averiguar cómo arreglar esto. Básicamente, estoy intentando ingresar SSH en mi servidor Mac Mini (10.9.5 con Server 3.2.2) pero Emond me sigue bloqueando después de 2 intentos fallidos de contraseña durante 300 minutos. Todo lo que estoy tratando de hacer es clonar un repositorio mío.

Mis preguntas son:

1) ¿Dónde puedo cambiar la hora de esta configuración? He mirado los archivos que las páginas man de Apple para emond refiérase a su configuración predeterminada y no veo nada allí para el bloque de 300 minutos. La única otra vez que encuentro está en DHABlockList.plist y solo se establece en 60 (minutos, supongo).

2) ¿Dónde puedo cambiar el número de intentos de inicio de sesión fallidos antes de que el usuario sea bloqueado por emond?

3) Incluso después de eliminar mi dirección IP local de la lista de bloqueo del firewall adaptable, y luego agregarla explícitamente a la lista blanca, todavía no puedo conectarme a través de SSH sin que el servidor rechace el intento de inicio de sesión porque estoy bloqueado . ¿Hay otra configuración para emond que pueda cambiar para permitir mi dirección IP local?

Editar : Aquí hay un ejemplo del registro que veo. Debo tener en cuenta que este mensaje está más allá del bloqueo de la dirección IP del servidor (lo cual es confuso ya que esta es la IP en la que se está ejecutando). La máquina que estoy usando está en 192.168.1.154. Este mensaje se creó después de iniciar sesión en SSH, cerrar sesión y luego intenté volver a iniciar sesión desde mi máquina.

    
pregunta Sean Olszewski 03.04.2015 - 20:38

2 respuestas

1

emond (Event Monitor Daemon) es solo un "proxy" aquí. Basado en varias reglas, el demonio inicia varias acciones como registrar eventos, enviar correos electrónicos o bloquear hosts o usuarios con la ayuda de afctl activando el ancla pf aquí: /Aplicaciones/Server.app/Contents/ServerRoot/private/etc/pf.anchors/400.AdaptiveFirewall.

La regla para el firewall adaptable se encuentra en

/Applications/Server.app/Contents/ServerRoot/private/etc/emond.d/rules 

y se llama AdaptiveFirewall.plist.

Para modificar la regla, afctl es el medio de elección.

Para ejecutar afctl entre:

sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl

La siguiente lista contiene todos los comandos disponibles:

-a ip_address [-t ttl] adds the given IPv4 or IPv6 address to the blacklist for ttl minutes
-r ip_address          removes the given ip address from the blacklist
-w ip_address          adds the given ip address to the whitelist
-x ip_address          removes the given ip address from the whitelist
-d                     disables all firewall rules managed by afctl
-e                     enables all firewall rules disabled by -d
-c                     self configure, populates the whitelist
-T failure_threshold   sets the threshold of bad auth attempts for a single host
-H default_ttl         sets the default block time
-X                     disables the adaptive firewall
-f                     enables the adaptive firewall and forces it into an active state

Para cambiar el tiempo de bloqueo, ingrese:

sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -H time

Para cambiar el umbral de falla ingresa:

sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -T number

Para incluir en una lista blanca una ip ingrese:

sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -w ip-address

Para verificar si su lista blanca está poblada correctamente, abra / var / db / af / whitelist. Debe contener todas las direcciones IPv4 / v6 (127.0.0.1 incluidas) de su servidor, así como su servidor DNS y todas las demás IP que deben estar en la lista blanca.

Probablemente tengas que volver a configurar y activarlo después con:

sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -c
sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -f

Todos los valores ingresados no parecen dar resultados precisos. P.ej. despues de entrar

 sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -T 3

Experimenté bloqueos después de 1-4 intentos fallidos de contraseña y el tiempo real del bloque puede variar ampliamente.

    
respondido por el klanomath 08.04.2015 - 02:06
0

enlace

para aquellos que han tenido el problema de que el archivo blockedHosts no se usó y nunca se resolvió Edite la línea para eliminar el carácter de barra diagonal "/" después del primer "400.AdaptiveFirewall".

    
respondido por el appledumpling 26.03.2017 - 07:44

Lea otras preguntas en las etiquetas