LINUX.ORG.RU
ФорумAdmin

Настройка pam_faillock

 


0

1

Использую Ред ОС для своих экспериментов. Большая проблема с настройкой PAM модуля pam_faillock. Задача настроить модуль так, чтобы пользователь имел 5 попыток входа и при неудачном вводе пароля происходила блокировка следующего ввода на 10 секунд, а при израсходовании всех попыток блокировка авторизации на 2 минуты. После настроек файлов (конфиги приложил ниже) /etc/security/faillock.conf, /etc/pam.d/system-auth, /etc/pam.d/password-auth желаемое не было достигнуто, если кто знает в чём причина большая просьба помочь

Конфигурации: /etc/security/faillock.conf

audit
silent
deny = 5
fail_interval = 10
unlock_time = 120

/etc/pam.d/system-auth

auth        required                                     pam_env.so
auth        required                                     pam_faillock.so preauth
auth        required                                     pam_faildelay.so delay=2000000
auth        sufficient                                   pam_fprintd.so
auth        [default=1 ignore=ignore success=ok]         pam_usertype.so isregular
auth        [default=1 ignore=ignore success=ok]         pam_localuser.so
auth        sufficient                                   pam_unix.so nullok
auth        [default=die]                                pam_faillock.so authfail
auth        [default=1 ignore=ignore success=ok]         pam_usertype.so isregular
auth        sufficient                                   pam_sss.so forward_pass
auth        required                                     pam_deny.so

account     required                                     pam_faillock.so
account     required                                     pam_unix.so
account     sufficient                                   pam_localuser.so
account     sufficient                                   pam_usertype.so issystem
account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     required                                     pam_permit.so

password    requisite                                    pam_pwquality.so local_users_only
password    sufficient                                   pam_unix.so yescrypt shadow nullok use_authtok
password    sufficient                                   pam_sss.so use_authtok
password    required                                     pam_deny.so

session     optional                                     pam_keyinit.so revoke
session     required                                     pam_limits.so
-session    optional                                     pam_systemd.so
session     [success=1 default=ignore]                   pam_succeed_if.so service in crond quiet use_uid
session     required                                     pam_unix.so
session     optional                                     pam_sss.so

/etc/pam.d/password-auth

auth        required                                     pam_env.so
auth        required                                     pam_faillock.so preauth
auth        required                                     pam_faildelay.so delay=2000000
auth        [default=1 ignore=ignore success=ok]         pam_usertype.so isregular
auth        [default=1 ignore=ignore success=ok]         pam_localuser.so
auth        sufficient                                   pam_unix.so nullok
auth        [default=die]                                pam_faillock.so authfail
auth        [default=1 ignore=ignore success=ok]         pam_usertype.so isregular
auth        sufficient                                   pam_sss.so forward_pass
auth        required                                     pam_deny.so

account     required                                     pam_faillock.so
account     required                                     pam_unix.so
account     sufficient                                   pam_localuser.so
account     sufficient                                   pam_usertype.so issystem
account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     required                                     pam_permit.so

password    requisite                                    pam_pwquality.so local_users_only
password    sufficient                                   pam_unix.so yescrypt shadow nullok use_authtok
password    sufficient                                   pam_sss.so use_authtok
password    required                                     pam_deny.so

session     optional                                     pam_keyinit.so revoke
session     required                                     pam_limits.so
-session    optional                                     pam_systemd.so
session     [success=1 default=ignore]                   pam_succeed_if.so service in crond quiet use_uid
session     required                                     pam_unix.so
session     optional                                     pam_sss.so

Не страдай ерундой, если сервер доступен через интеренет, куча «тупых» сканеров заблокируют аккаунты от валидного входа

sparks ★★★★
()