以前、私は使用について質問しましたRHEL6 での pam_tally2私はこの質問と回答を提示し、推奨される使用法を文書化したいと思います。pam_faillock 以上 パム_タリー2同じ機能の場合;
Red Hat 6 で一時的なアカウントをロックする場合の推奨戦略は何ですか?
答え1
pam_faillockモジュールは、Red Hat Enterprise Linux 6.1 のテクニカルノート。そしてどういうわけか、今まで私はこのことに気づいていませんでした。
BZ#644971
認証の試行が複数回失敗した場合にユーザー アカウントを一時的にロックすることをサポートする新しい pam_faillock モジュールが追加されました。この新しいモジュールは、スクリーン セーバーを介して認証試行が行われるときに一時的なロックも可能にするため、既存の pam_tally2 モジュールよりも機能が向上しています。
のセキュリティガイドこのモジュールの使用方法については、セクション 2.1.9.5「アカウントのロック」で説明しています。
アカウントロックを構成するには、次の手順に従います。
3 回失敗した後に非 root ユーザーをロックアウトし、10 分後にそのユーザーのロックを解除するには、および
/etc/pam.d/system-authファイル/etc/pam.d/password-authの auth セクションに次の行を追加します。auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600次の行をアカウントセクションに追加します。両方前の手順で指定したファイル:
account required pam_faillock.so
ここでは意図的に停止しましたが、これはほとんどの人が求めている機能を提供するためです。ルート ユーザーを含める場合は、提供されているリンクをお読みください。