Ранее я спрашивал об использованииpam_tally2 под RHEL6. Я хотел бы задать этот вопрос и ответить на него, чтобы задокументировать рекомендуемое использованиеpam_faillock над pam_tally2для той же функции;
Какова рекомендуемая стратегия временной блокировки учетной записи в Red Hat 6?
решение1
Модуль pam_faillock был представлен нам вТехнические примечания для Red Hat Enterprise Linux 6.1. И каким-то образом это до сих пор оставалось вне моего поля зрения.
БЗ#644971
Добавлен новый модуль pam_faillock для поддержки временной блокировки учетных записей пользователей в случае нескольких неудачных попыток аутентификации.Этот новый модуль улучшает функциональность по сравнению с существующим модулем pam_tally2, поскольку он также позволяет временно блокировать попытки аутентификации, выполняемые поверх экранной заставки.
TheРуководство по безопасностиобъясняет нам, как следует использовать этот модуль в разделе 2.1.9.5 «Блокировка учетной записи».
Чтобы настроить блокировку учетной записи, выполните следующие действия:
Чтобы заблокировать любого пользователя без прав root после трех неудачных попыток и разблокировать этого пользователя через 10 минут, добавьте следующие строки в раздел auth файлов
/etc/pam.d/system-authи/etc/pam.d/password-auth:auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600Добавьте следующую строку в раздел учетной записиобафайлы, указанные на предыдущем шаге:
account required pam_faillock.so
Я намеренно остановился здесь, потому что это обеспечит функциональность, которую ищет большинство. Если вы хотите включить пользователя root, читайте дальше по предоставленной ссылке.