Как настроить pam_tally2 для блокировки учетной записи пользователя после определенного количества неудачных попыток входа в систему в CentOS / RHEL |

Как настроить pam_tally2 для блокировки учетной записи пользователя после определенного количества неудачных попыток входа в систему в CentOS / RHEL

Мануал

Чтобы настроить pam_tally2 для блокировки учетной записи пользователя после определенного количества неудачных попыток входа в систему, выполните следующие действия:

1. Добавьте следующую строку в раздел auth и account файлов /etc/pam.d/system-auth и /etc/pam.d/password-auth.

auth        required      pam_tally2.so deny=3 onerr=fail unlock_time=500
account     required      pam_tally2.so

Примечание: в RHEL 5 есть только файл /etc/pam.d/system-auth.

2. Пример файла system-auth будет выглядеть следующим образом:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_tally2.so deny=3 onerr=fail unlock_time=300
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so

account     required      pam_tally2.so    
account     required      pam_unix.so broken_shadow
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

Порядок правил pam очень важен.

На RHEL6 записи pam_tally2 должны присутствовать как в файлах system-auth, так и в файле password-auth.

Примечание. Все файлы в /etc/pam.d должны быть в режиме доступа 644.

3. pam_tally2 не совместим со старым форматом файла журнала ошибок pam_tally.

По умолчанию файл, в котором хранится счетчик неудачных попыток входа, называется /var/log/tallylog.

Убедитесь, что права у Tallylog 600.

# chmod 600 /var/log/tallylog ; chown root:root /var/log/tallylog

иначе будет записано сообщение об ошибке, как показано ниже в /var/log/secure.

var/log/secure:Nov 20 18:43:17 localhost login: pam_tally2(login:auth): /var/log/tallylog is either world writable or not a normal file
var/log/secure:Nov 20 18:43:23 localhost login: pam_tally2(login:auth): /var/log/tallylog is either world writable or not a normal file

Чтобы проверить список пользователей, попавших в число максимальных попыток, введите команду «pam_tally2».

# pam_tally2
# pam_tally2  -u testuser

Чтобы сбросить число неудачных попыток входа в систему, выполните следующую команду.

# pam_tally2 -r -u testuser

– Если вы хотите заблокировать пользователя root, добавьте «even_deny_root» в строку pam_tally2.so в разделе auth файла /etc/pam.d/system-auth (а также в файл password-auth, если необходимо).

auth        required      pam_tally2.so deny=3 onerr=fail unlock_time=60 even_deny_root
account     required      pam_tally2.so

– Если вы хотите заблокировать только пользователя root, добавьте следующую строку в раздел auth файла /etc/pam.d/system-auth (а также файл password-auth, если необходимо).

auth        [success=1 default=ignore] pam_succeed_if.so gid ne 0
auth        required      pam_tally2.so deny=3 onerr=fail unlock_time=60 even_deny_root

Примечание: параметр «no_magic_root» не требуется настраивать в pam_tally2 в RHEL 6, так как обычно неудачные попытки доступа root не приводят к блокировке учетной записи root. Для получения более подробной информации о pam_tally2 проверьте файл /usr/share/doc/pam-ndomVersion‹/txts/README.pam_tally2.

pam-tally2 поддерживаемые версии

Примечание: модуль pam-tally2 предоставляется с момента выпуска CentOS / RHEL5 GA (5.0), как показано ниже:

# uname -r
2.6.18-8.el5
# rpm -q pam
pam-0.99.6.2-3.14.el5
pam-0.99.6.2-3.14.el5
Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий