emond me mantiene fuera de mi servidor a través de SSH

He estado lidiando con emond (y tal vez con afctl) toda la tarde, y estoy tratando de averiguar cómo solucionarlo. Básicamente, estoy tratando de SSH en mi servidor Mac Mini (10.9.5 con Server 3.2.2), pero emond me sigue bloqueando después de 2 intentos fallidos de contraseña durante 300 minutos. Todo lo que intento hacer es clonar un repositorio mío.

Mis preguntas son:

1) ¿Dónde puedo cambiar la hora de esta configuración? Revisé los archivos a los que se refieren las páginas de manual de Apple para emond para conocer su configuración predeterminada y no veo nada allí para el bloque de 300 minutos. El único otro momento que encuentro es en DHABlockList.plist y solo está configurado para 60 (minutos, supongo).

2) ¿Dónde puedo cambiar el número de intentos fallidos de inicio de sesión antes de que emond bloquee al usuario?

3) Incluso después de eliminar mi dirección IP local de la lista de bloqueo del firewall adaptable y luego agregarla explícitamente a la lista blanca, todavía no puedo conectarme a través de SSH sin que el servidor rechace el intento de inicio de sesión porque estoy bloqueado. ¿Hay otra configuración para emond que pueda cambiar para permitir el ingreso de mi dirección IP local?

Editar : Aquí hay un ejemplo del registro que veo. Debo señalar que este mensaje está bloqueando la dirección IP del servidor (lo cual es confuso ya que esta es la IP en la que se está ejecutando). La máquina que estoy usando está en 192.168.1.154. Este mensaje se creó después de que inicié sesión a través de SSH, me desconecté y luego intenté volver a iniciar sesión desde mi máquina.

Ejemplo de registro

¿Puede editar su pregunta para incluir el texto completo del mensaje de error exacto que recibe? Esto podría ser útil para otras personas que se encuentran con el mismo problema (para ayudarlos a encontrar esta pregunta) y también podría arrojar luz sobre la naturaleza específica de lo que está sucediendo en su situación.
Gracias por la sugerencia DW Verás mi captura de pantalla arriba.

Respuestas (2)

emond (Event Monitor Daemon) es solo un "proxy" aquí. Basado en varias reglas, el demonio inicia varias acciones como registrar eventos, enviar correos electrónicos o bloquear hosts o usuarios con la ayuda de afctl activando pf-anchor aquí: /Applications/Server.app/Contents/ServerRoot/private/etc/pf.anchors /400.Cortafuegos adaptativo.

La regla para el cortafuegos adaptable se encuentra en

/Applications/Server.app/Contents/ServerRoot/private/etc/emond.d/rules

y se llama AdaptiveFirewall.plist.

Modificar la regla afctl es el medio de elección.

Para ejecutar afctl ingrese:

sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl

La siguiente lista contiene todos los comandos disponibles:

-a ip_address [-t ttl] adds the given IPv4 or IPv6 address to the blacklist for ttl minutes
-r ip_address          removes the given ip address from the blacklist
-w ip_address          adds the given ip address to the whitelist
-x ip_address          removes the given ip address from the whitelist
-d                     disables all firewall rules managed by afctl
-e                     enables all firewall rules disabled by -d
-c                     self configure, populates the whitelist
-T failure_threshold   sets the threshold of bad auth attempts for a single host
-H default_ttl         sets the default block time
-X                     disables the adaptive firewall
-f                     enables the adaptive firewall and forces it into an active state

Para cambiar el tiempo de bloqueo ingrese:

sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -H time

Para cambiar el umbral de falla ingrese:

sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -T number

Para incluir en la lista blanca una IP, ingrese:

sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -w ip-address

Para verificar si su lista blanca está correctamente completa, abra /var/db/af/whitelist. Debe contener todas las direcciones IPv4/v6 (incluida la 127.0.0.1) de su servidor, así como su servidor DNS y todas las demás direcciones IP que deben incluirse en la lista blanca.

Probablemente tengas que volver a configurarlo y activarlo después con:

sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -c
sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -f

Todos los valores ingresados ​​no parecen dar resultados precisos. Por ejemplo, después de entrar

 sudo /Applications/Server.app/Contents/ServerRoot/usr/libexec/afctl -T 3

Experimenté bloqueos después de 1 a 4 intentos fallidos de contraseña y el tiempo de bloqueo real puede variar ampliamente.

¡Vaya Klanomathe! ¡¡Impresionante!!

https://support.apple.com/en-us/HT203673

para aquellos que han tenido el problema de que el archivo blockHosts no se usó y nunca lo resolvió Edite la línea para eliminar el carácter de barra inclinada "/" después del primer "400.AdaptiveFirewall".

emond me mantiene fuera de mi servidor a través de SSH
RespuestasAquíPolítica de privacidad1y, 0v