opção inativa não funciona para pam_lastlog.so

1

Estou tentando configurar meu sistema para bloquear usuários inativos após 10 dias. Estou usando o CentOS 6.xe olhando o manual do RHEL, isso é o que eu encontrei:

To lock out an account after 10 days of inactivity, add, as root,
the following line to the auth section of the /etc/pam.d/login file:
auth  required  pam_lastlog.so inactive=10

Então, este é meu /etc/pam.d/login:

#%PAM-1.0
auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
auth       include      system-auth
auth       required     pam_lastlog.so inactive=10
account    required     pam_nologin.so
account    include      system-auth
password   include      system-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
session    optional     pam_console.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      system-auth
-session   optional     pam_ck_connector.so

Faço login pelo ssh como usuário e faço logout.

Depois disso eu configurei o tempo 1 ano no futuro, como root logado no TTY1:

# date --set "...."
# hwclock --systohc

Eu mesmo reinicio a VM, mas ainda assim, quando ela volta, consigo fazer login como usuário por meio do ssh.

Alguma idéia do que estou fazendo errado aqui?

    
por Jakov Sosic 26.08.2015 / 01:58

1 resposta

0

I even reboot the VM, but still, when it gets back, I'm able to log in as user through ssh.

Maçãs e laranjas. Você está editando o arquivo login , mas está realizando testes em relação a sshd . O daemon sshd chama a biblioteca PAM diretamente com um nome de serviço de sshd , assim o arquivo com nome idêntico é usado.

Caso você não saiba que o arquivo login mapeia para tentativas de autenticação por um comando real chamado login (que é invocado por seu getty), man login é o material de leitura recomendado .

    
por 26.08.2015 / 10:17