Блокировка учетной записи с помощью pam_faillock в RHEL6
Ранее я спрашивал об использовании pam_tally2 под RHEL6. Я хотел бы задать этот вопрос и ответить на документ, чтобы рекомендовать использование pam_faillock вместо pam_tally2 для той же функции;
Какова рекомендуемая стратегия для временной блокировки учетной записи в Red Hat 6?
1 ответ
Модуль pam_faillock был представлен нам в Технических примечаниях для Red Hat Enterprise Linux 6.1. И почему-то это дошло до меня до сих пор.
BZ # 644971
Был добавлен новый модуль pam_faillock для поддержки временной блокировки учетных записей пользователей в случае нескольких неудачных попыток аутентификации. Этот новый модуль улучшает функциональность по сравнению с существующим модулем pam_tally2, так как он также позволяет временную блокировку, когда попытки аутентификации выполняются через экранную заставку.
В Руководстве по безопасности объясняется, как использовать этот модуль в разделе 2.1.9.5 "Блокировка учетной записи".
Выполните следующие действия для настройки блокировки учетной записи:
Чтобы заблокировать любого пользователя без полномочий root после трех неудачных попыток и разблокировать этого пользователя через 10 минут, добавьте следующие строки в раздел auth
/etc/pam.d/system-authа также/etc/pam.d/password-authфайлы:auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600Добавьте следующую строку в раздел учетной записи обоих файлов, указанных на предыдущем шаге:
account required pam_faillock.so
Я намеренно остановился здесь, потому что это обеспечит функциональность, которую большинство ищет. Если вы хотите включить пользователя root, читайте дальше по предоставленной ссылке.