Estou tentando implementar o bloqueio de contas para sistemas Ubuntu usando pam_tally . O login deve ser desativado para determinado intervalo em 3 tentativas de login inválidas. Isso deve acontecer para logins do sistema e do LDAP no sistema.
(Temos um sistema de autenticação central LDAP em que os usuários dos clientes do Ubuntu podem autenticar)
Como podemos configurar isso? Eu poderia ver alguns artigos sobre isso para redhat mas não ubuntu
Se você já tiver pam_tally configurado, basta adicioná-lo ao seu diretório /etc/pam.d/common-auth. Os logins com falha do LDAP devem aparecer - no PAM - como os logins com falha em sua máquina local. Portanto, certifique-se de que você tenha a ordem correta:
auth required /lib/security/$ISA/pam_tally.so onerr=fail no_magic_root
account required /lib/security/$ISA/pam_tally.so per_user deny=5 no_magic_root reset
(Adaptar caminhos conforme necessário)
A resposta acima está incorreta para as modernas instalações do RHEL 5 e do Ubuntu. Foi verdade em um ponto, e eu não posso identificar quando a mudança ocorreu, mas ocorreu antes do OP em 30 de agosto de 2011 (dado o benchmark da CEI publicado em agosto de 2011). deny = precisa estar em uma linha de autorização, não em uma linha de conta. Várias fontes na Internet estão desatualizadas / incorretas neste ponto.
Veja as man pages de pam_tally:
link
link
... você verá que negar é uma opção "auth", não uma opção de conta.
Estas são as configurações corretas: (em system-auth / system-auth-ac no RHEL e common-auth no Ubuntu)
#Actually locks out the user; put BEFORE pam_unix.so auth line.
auth required pam_tally2.so deny=5 onerr=fail unlock_time=900
(em system-auth / system-auth-ac no RHEL e common-account no Ubuntu)
#Resets the failed counter if the user finally gets in successfully. This is only needed to support programs that do not call pam_setcred(3) correctly (like sshd). Put BEFORE pam_unix.so account line.
account required pam_tally2.so
Observe que pam_tally2 substituiu pam_tally. Pam_tally ainda funciona, e se pam_tally sozinho for usado, o deny = 5 ainda deve estar na linha auth e não na linha da conta. Pam_tally2 é recomendado nas versões atuais dos guias de endurecimento NSA e CIS RHEL.
Algumas fontes da Internet sugerem que você adicione a instrução magic_root para que a conta raiz não seja bloqueada se um usuário digitar uma senha incorreta do sudo. Eu não encontrei isso para ser verdade no teste. Se um usuário inserir uma senha incorreta para o su, isso pode ser verdade, mas ninguém deve estar precisando fazer o root diretamente de qualquer maneira e, se estiver e digitar a senha incorreta, parece-me correto que o root esteja bloqueado. Se você tiver magic_root, algumas fontes sugerem que você também precisa adicionar linhas em /etc/pam.d/sshd; Eu não tentei isso.
Pam_tally2 tem as seguintes melhorias / alterações:
A configuração correta está presente no guia Narden RHEL Hardening e no mais recente CIS Benchmark para RHEL 5. As guias do NSA RHEL Hardening observam que o comportamento do pam_tally mudou durante a vida útil do RHEL e que as configurações novas e corrigidas podem não trabalhar em sistemas que não estão atualizados.
NOTA: No RHEL 6, a sintaxe é diferente. Isso é mostrado nos benchmarks do CIS para o RHEL 6, mas eu não testei essas configurações.
Tags authentication pam ldap ubuntu