He estado lidiando con emond (y tal vez con afctl) toda la tarde, y estoy tratando de averiguar cómo solucionarlo. Básicamente, estoy tratando de SSH en mi servidor Mac Mini (10.9.5 con Server 3.2.2), pero emond me sigue bloqueando después de 2 intentos fallidos de contraseña durante 300 minutos. Todo lo que intento hacer es clonar un repositorio mío.
Mis preguntas son:
1) ¿Dónde puedo cambiar la hora de esta configuración? Revisé los archivos a los que se refieren las páginas de manual de Apple para emond para conocer su configuración predeterminada y no veo nada allí para el bloque de 300 minutos. El único otro momento que encuentro es en DHABlockList.plist y solo está configurado para 60 (minutos, supongo).
2) ¿Dónde puedo cambiar el número de intentos fallidos de inicio de sesión antes de que emond bloquee al usuario?
3) Incluso después de eliminar mi dirección IP local de la lista de bloqueo del firewall adaptable y luego agregarla explícitamente a la lista blanca, todavía no puedo conectarme a través de SSH sin que el servidor rechace el intento de inicio de sesión porque estoy bloqueado. ¿Hay otra configuración para emond que pueda cambiar para permitir el ingreso de mi dirección IP local?
Editar : Aquí hay un ejemplo del registro que veo. Debo señalar que este mensaje está bloqueando la dirección IP del servidor (lo cual es confuso ya que esta es la IP en la que se está ejecutando). La máquina que estoy usando está en 192.168.1.154. Este mensaje se creó después de que inicié sesión a través de SSH, me desconecté y luego intenté volver a iniciar sesión desde mi máquina.
emond (Event Monitor Daemon) es solo un "proxy" aquí. Basado en varias reglas, el demonio inicia varias acciones como registrar eventos, enviar correos electrónicos o bloquear hosts o usuarios con la ayuda de afctl activando pf-anchor aquí: /Applications/Server.app/Contents/ServerRoot/private/etc/pf.anchors /400.Cortafuegos adaptativo.
La regla para el cortafuegos adaptable se encuentra en
/Applications/Server.app/Contents/ServerRoot/private/etc/emond.d/rules
y se llama AdaptiveFirewall.plist.
Modificar la regla afctl es el medio de elección.
Para ejecutar afctl ingrese:
sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl
La siguiente lista contiene todos los comandos disponibles:
-a ip_address [-t ttl] adds the given IPv4 or IPv6 address to the blacklist for ttl minutes
-r ip_address removes the given ip address from the blacklist
-w ip_address adds the given ip address to the whitelist
-x ip_address removes the given ip address from the whitelist
-d disables all firewall rules managed by afctl
-e enables all firewall rules disabled by -d
-c self configure, populates the whitelist
-T failure_threshold sets the threshold of bad auth attempts for a single host
-H default_ttl sets the default block time
-X disables the adaptive firewall
-f enables the adaptive firewall and forces it into an active state
Para cambiar el tiempo de bloqueo ingrese:
sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -H time
Para cambiar el umbral de falla ingrese:
sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -T number
Para incluir en la lista blanca una IP, ingrese:
sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -w ip-address
Para verificar si su lista blanca está correctamente completa, abra /var/db/af/whitelist. Debe contener todas las direcciones IPv4/v6 (incluida la 127.0.0.1) de su servidor, así como su servidor DNS y todas las demás direcciones IP que deben incluirse en la lista blanca.
Probablemente tengas que volver a configurarlo y activarlo después con:
sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -c
sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -f
Todos los valores ingresados no parecen dar resultados precisos. Por ejemplo, después de entrar
sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -T 3
Experimenté bloqueos después de 1 a 4 intentos fallidos de contraseña y el tiempo de bloqueo real puede variar ampliamente.
https://support.apple.com/en-us/HT203673
para aquellos que han tenido el problema de que el archivo blockHosts no se usó y nunca lo resolvió Edite la línea para eliminar el carácter de barra inclinada "/" después del primer "400.AdaptiveFirewall".
DW
Sean Olszewski