이전에 사용에 관해 문의한 적이 있습니다.RHEL6의 pam_tally2. 권장되는 사용 방법을 문서화하기 위해 이 질문과 답변을 제시하고 싶습니다.pam_faillock ~ 위에 pam_tally2동일한 기능에 대해;
Red Hat 6에서 임시 계정 잠금에 권장되는 전략은 무엇입니까?
답변1
pam_faillock 모듈은 다음에서 소개되었습니다.Red Hat Enterprise Linux 6.1에 대한 기술 노트. 그리고 어떻게 든 이것은 지금까지 내 레이더 아래로 날아갔습니다.
BZ#644971
여러 번의 인증 시도 실패 시 사용자 계정의 임시 잠금을 지원하기 위해 새로운 pam_faillock 모듈이 추가되었습니다.이 새로운 모듈은 화면 보호기를 통해 인증 시도가 수행될 때 임시 잠금을 허용하므로 기존 pam_tally2 모듈보다 기능이 향상되었습니다.
그만큼보안 가이드섹션 2.1.9.5 계정 잠금에서 이 모듈을 어떻게 사용해야 하는지 설명합니다.
계정 잠금을 구성하려면 다음 단계를 따르세요.
3번의 시도 실패 후 루트가 아닌 사용자를 잠그고 10분 후에 해당 사용자의 잠금을 해제하려면
/etc/pam.d/system-auth및/etc/pam.d/password-auth파일의 인증 섹션에 다음 행을 추가하십시오.auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600계정 섹션에 다음 줄을 추가합니다.둘 다이전 단계에서 지정한 파일:
account required pam_faillock.so
이것이 대부분이 찾고 있는 기능을 제공할 것이기 때문에 의도적으로 여기서 중단했습니다. 루트 사용자를 포함하려면 제공된 링크를 계속 읽으십시오.