Bloqueio de conta com pam_faillock no RHEL6

4

Anteriormente, perguntei sobre o uso de pam_tally2 no RHEL6 . Eu gostaria de colocar esta questão e responder para documentar o uso recomendado de pam_faillock sobre pam_tally2 para a mesma função;

Qual é a estratégia recomendada para o bloqueio temporário de contas no Red Hat 6?

    
por Aaron Copley 08.05.2014 / 23:52

1 resposta

4

O módulo pam_faillock foi apresentado a nós no Suporte técnico Notas para o Red Hat Enterprise Linux 6.1 . E de alguma forma isso voou sob o meu radar até agora.

BZ#644971
A new pam_faillock module was added to support temporary locking of user accounts in the event of multiple failed authentication attempts. This new module improves functionality over the existing pam_tally2 module, as it also allows temporary locking when the authentication attempts are done over a screen saver.

O Guia de Segurança explica-nos como este módulo deve ser usado na seção 2.1.9.5, Bloqueio de Conta.

Follow these steps to configure account locking:

To lock out any non-root user after three unsuccessful attempts and unlock that user after 10 minutes, add the following lines to the auth section of the /etc/pam.d/system-auth and /etc/pam.d/password-auth files:

auth        required       pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth        sufficient     pam_unix.so nullok try_first_pass
auth        [default=die]  pam_faillock.so authfail audit deny=3 unlock_time=600

Add the following line to the account section of both files specified in the previous step:

account     required      pam_faillock.so

Eu parei intencionalmente aqui porque isso fornecerá a funcionalidade que a maioria está procurando. Se você deseja incluir o usuário root, continue lendo no link fornecido.

    
por 08.05.2014 / 23:52