LINUX.ORG.RU
решено ФорумAdmin

Парольная политика безопасности


0

0

Доброе время суток всем. У меня проблема с парольной политикой безопасности, мне надо чтобы учетная запись блокировалась после определенного кол-ва неудачных попыток на опред время, это можно сделать с помощью pam в файле /etc/pam.d/system-login изменить одну строчку на

auth required pam_tally.so onerr=succeed deny=3 lock_time=10 unlock_time=300

или в файле /etc/login.defs установите значение для переменных LOGIN_RETRIES и LOGIN_TIMEOUT. Но ни один из данных вариантов не работает, может подскажете почему? или что надо делать?

Какой дистрибутив, чем проверяете, то что блокировка не наступает.

Относительно LOGIN_RETRIES, дак в «man login.defs» ясно написано:

Much of the functionality that used to be provided by the shadow
password suite is now handled by PAM. Thus, /etc/login.defs is no
longer used by programs such as: login(1), passwd(1), su(1). Please
refer to the corresponding PAM configuration files instead.

Относительно pam_tally.so, у вас стоит onerr=succeed, поэтому смотрите, что есть доступ к файлу /var/log/faillog или где он находится в вашей системе, и что пишется в этот файл. Это при условии, что то, чем вы проверяете, использует PAM.

mky ★★★★★
()
Ответ на: комментарий от mrtmexx

Включено ли использование PAM (use флаги)? Что в файле /etc/pam.d/sshd или через какую программу вы пытаетесь сделать логин?

то должен блокироваться учетка!

Что подразумевается под блокировкой учёток? Просто не будут разрешены новые логины, а уже работающие процессы пользователя, почтовый ящик и т.д. останутся.

mky ★★★★★
()
Ответ на: комментарий от mky

хм.... теперь понятно, спасибо! я думал что при входе в систему локально, а не через ssh! видимо я не понял все с самого начала:(

mrtmexx
() автор топика
Ответ на: комментарий от mrtmexx

Локально, тогда /etc/pam.d/login. Просто вы добавляете в /etc/pam.d/system-login, но я не знаю, есть ли у вас в других файлах в этом каталоге ссылка вида «auth include system-auth».

И если вам нужно только локально, то тогда пишете строку про pam_tally.so только в файл /etc/pam.d/login.

mky ★★★★★
()
Ответ на: комментарий от mky

Спасибо за помощь:) с локальной блокировкой так и не получилось ничего,а вот с блокировкой через ssh все работает! Спасибо за разъяснения!

mrtmexx
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.