Pam Tally Linux, чтобы запретить пользователям неправильные пароли


0

У меня есть большая проблема с распределением Fedora (17). Я не знаю, как настроить /etc/pam.d/system-auth, чтобы забанить пользователя после того, как он / она неправильно введет пароль (3 раза)

Я прочитал множество различных дополнений к этому файлу, которые достигают этого (все примерно одинаковы), но они не работают.

Например, я добавил эти строки:

auth required pam_tally.so onerr=fail deny=3 unlock_time=40

Но случайный пользователь, которого я создал, может много раз пробовать свой пароль без предупреждения, ничего.

Как я должен это исправить? У кого-нибудь есть предложение?


это влияет на пользователей root / wheel?
Лоренцо фон Маттерхорн

Нет, никто: S
Маркус Рериг

Ответы:


0

Когда PAM блокирует учетную запись пользователя, она не предоставляет никакого сообщения о том, что учетная запись заблокирована, чтобы не предоставлять никакой дополнительной информации злоумышленникам. Таким образом, вы никогда не получите предупреждение о том, что ваша учетная запись заблокирована.

чтобы проверить свои настройки, введите хорошее имя пользователя и плохой пароль 3 раза. затем введите правильное имя пользователя и пароль в течение 40 секунд, для которых установлена ​​блокировка. если вы вошли в систему, настройки потерпели неудачу, но если вы получили «Неверное имя пользователя или пароль» с правильными учетными данными, то все работает правильно.

также убедитесь, что ваша строка 'auth required pam_tally.so ...' предшествует вашей строке 'auth достаточный pam_unix.so ...'.

Дополнительные советы можно найти здесь: http://www.linuxquestions.org/questions/linux-security-4/pam-pam_tally-and-locking-out-users-after-3-failed-login-attempts-in-rhel5 -624257 /


я просто переключаю пользователей с графического интерфейса, но все еще такое же поведение .... глупая Fedora.
Маркус Рериг
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.