não é possível fazer o login depois de fazer alterações no sistema de autenticação e senha de autenticação

Question

não é possível fazer o login depois de fazer alterações no sistema de autenticação e senha de autenticação

#1 resposta do (0 votos)

1

Estou tentando realizar algo e não consigo entender. Estou tentando limitar as tentativas de login a 3 (via ssh, terminal ou GUI. Depois dessas 3 tentativas malsucedidas, quero bloquear a conta por 1 hora.

Eu tenho duas contas de teste que estavam funcionando normalmente antes das alterações: user1 is an ldap account e user2 is a local account with a set password

Depois de fazer as alterações no sistema de autenticação e senha de autenticação sugeridas no site rhel, não consigo fazer login. Felizmente eu não modifiquei a conta root e ainda posso acessar o sistema, mas não consigo entender o que deu errado.

Os dois arquivos system-auth e password-auth são os mesmos, essa é a configuração que eu tenho:

auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent deny=3 unlock_time=3600 fail_interval=900
auth        sufficient    pam_unix.so nullok try_first_pass
auth        [default=die] pam_faillock.so authfail deny=3 unlock_time=3600 fail_interval=900
auth        sufficient     pam_faillock.so authsucc audit deny=3
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so

account     required      pam_faillock.so
account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     optional      pam_oddjob_mkhomedir.so 
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

Eu verifiquei passwd -S user1 e ele não parece estar bloqueado e, sob os registros, tudo que vejo é Failed password para ambas as contas.

Alguém pode me guiar ou me indicar para conseguir o que eu quero? Eu só quero impor tentativas de login com falha e o tempo de bloqueio.

security login pam centos rhel7

por user3311890 16.11.2017 / 15:30

1 resposta

Tags security login pam centos rhel7

Conectando o SSMS local à alta disponibilidade do Sql Server em execução em máquinas virtuais no Azure Descobrir a porcentagem de uso de CPU e memória do contêiner Docker em seu ambiente de execução

score 0 · Answer 1

Primeiro, pam_faillock não bloqueia a conta como visto por passwd -S user . Nunca funcionaria para contas LDAP. Para ver as contas bloqueadas por este método, basta executar faillock . Exemplo:

[root@localhost ~]# faillock
john:
When                Type  Source                                           
Valid
2013-03-05 11:44:14 TTY   pts/0                                                
V

Para desbloquear a conta de um usuário, execute:

faillock --user <username> --reset

Agora, por que isso pode estar causando problemas. Não tenho tanta certeza sobre essa terceira linha faillock na seção auth. Em o exemplo que usei para implementar o faillock, não está presente. Além disso, o comando de auditoria está ausente da primeira entrada.

Mas, não consigo imaginar que essa seja a razão do seu problema, conforme explicado na man page.

audit

Will log the user name into the system log if the user is not found.

Você mencionou que usou o site do RHEL para implementar isso. Pode ser útil ver esse URL e compará-lo ao que estou vendo, porque eles são um pouco diferentes.

Veja: link