Anteriormente, pregunté sobre el usopam_tally2 bajo RHEL6. Me gustaría plantear esta pregunta y responder para documentar el uso recomendado depam_faillock encima pam_tally2para la misma función;
¿Cuál es la estrategia recomendada para el bloqueo temporal de cuentas en Red Hat 6?
Respuesta1
El módulo pam_faillock nos fue presentado en elNotas técnicas para Red Hat Enterprise Linux 6.1. Y de alguna manera esto pasó desapercibido hasta ahora.
BZ#644971
Se agregó un nuevo módulo pam_faillock para admitir el bloqueo temporal de cuentas de usuario en caso de múltiples intentos fallidos de autenticación.Este nuevo módulo mejora la funcionalidad del módulo pam_tally2 existente, ya que también permite el bloqueo temporal cuando los intentos de autenticación se realizan a través de un protector de pantalla.
ElGuía de seguridadnos explica cómo se debe utilizar este módulo en la sección 2.1.9.5, Bloqueo de cuenta.
Siga estos pasos para configurar el bloqueo de cuenta:
Para bloquear a cualquier usuario que no sea root después de tres intentos fallidos y desbloquearlo después de 10 minutos, agregue las siguientes líneas a la sección de autenticación de los archivos
/etc/pam.d/system-authy/etc/pam.d/password-auth:auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600Agregue la siguiente línea a la sección de cuenta deambosarchivos especificados en el paso anterior:
account required pam_faillock.so
Me detuve aquí intencionalmente porque esto proporcionará la funcionalidad que la mayoría busca. Si desea incluir al usuario root, siga leyendo en el enlace proporcionado.