Zuvor habe ich gefragt, ob ichpam_tally2 unter RHEL6. Ich möchte diese Frage und Antwort stellen, um die empfohlene Verwendung vonpam_faillock über pam_tally2für die gleiche Funktion;
Was ist die empfohlene Strategie für die vorübergehende Kontosperrung in Red Hat 6?
Antwort1
Das Modul pam_faillock wurde uns vorgestellt imTechnische Hinweise für Red Hat Enterprise Linux 6.1. Und irgendwie ist mir das bis jetzt entgangen.
BZ#644971
Ein neues pam_faillock-Modul wurde hinzugefügt, um die vorübergehende Sperrung von Benutzerkonten im Falle mehrerer fehlgeschlagener Authentifizierungsversuche zu unterstützen.Dieses neue Modul verbessert die Funktionalität gegenüber dem vorhandenen Modul pam_tally2, da es auch eine vorübergehende Sperrung ermöglicht, wenn die Authentifizierungsversuche über einen Bildschirmschoner erfolgen.
DerSicherheitshandbucherklärt uns im Abschnitt 2.1.9.5, Kontosperrung, wie dieses Modul verwendet werden soll.
Gehen Sie folgendermaßen vor, um die Kontosperre zu konfigurieren:
Um alle Nicht-Root-Benutzer nach drei erfolglosen Versuchen zu sperren und nach 10 Minuten wieder zu entsperren, fügen Sie dem Authentifizierungsabschnitt der
/etc/pam.d/system-authund/etc/pam.d/password-auth-Dateien die folgenden Zeilen hinzu:auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600Fügen Sie die folgende Zeile zum Kontoabschnitt vonbeideim vorherigen Schritt angegebene Dateien:
account required pam_faillock.so
Ich habe hier absichtlich aufgehört, da dies die Funktionalität bietet, nach der die meisten suchen. Wenn Sie den Root-Benutzer einbeziehen möchten, lesen Sie unter dem angegebenen Link weiter.