RHEL6 中使用 pam_faillock 鎖定帳戶

Question

pam_faillock 模組是在紅帽企業 Linux 6.1 技術說明。不知何故，直到現在，這件事還沒有引起我的注意。

BZ#644971
新增了新的 pam_faillock 模組，以支援在多次身份驗證嘗試失敗時暫時鎖定使用者帳戶。這個新模組改進了現有 pam_tally2 模組的功能，因為它還允許在透過螢幕保護程式完成身份驗證嘗試時臨時鎖定。

這安全指南在第 2.1.9.5 節「帳戶鎖定」中向我們解釋如何使用該模組。

請依照以下步驟設定帳戶鎖定：

若要在 3 次失敗嘗試後鎖定任何非 root 用戶並在 10 分鐘後解鎖該用戶，請將以下行新增至/etc/pam.d/system-auth和/etc/pam.d/password-auth檔案的 auth 部分：
auth        required       pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth        sufficient     pam_unix.so nullok try_first_pass
auth        [default=die]  pam_faillock.so authfail audit deny=3 unlock_time=600
將以下行新增至帳戶部分兩個都上一步中指定的檔案：
account     required      pam_faillock.so

我特意停在這裡，因為這將提供大多數人正在尋找的功能。如果您希望包含 root 用戶，請繼續閱讀提供的連結。

Answer 1

pam_faillock 模組是在紅帽企業 Linux 6.1 技術說明。不知何故，直到現在，這件事還沒有引起我的注意。

BZ#644971
新增了新的 pam_faillock 模組，以支援在多次身份驗證嘗試失敗時暫時鎖定使用者帳戶。這個新模組改進了現有 pam_tally2 模組的功能，因為它還允許在透過螢幕保護程式完成身份驗證嘗試時臨時鎖定。

這安全指南在第 2.1.9.5 節「帳戶鎖定」中向我們解釋如何使用該模組。

請依照以下步驟設定帳戶鎖定：

若要在 3 次失敗嘗試後鎖定任何非 root 用戶並在 10 分鐘後解鎖該用戶，請將以下行新增至/etc/pam.d/system-auth和/etc/pam.d/password-auth檔案的 auth 部分：
auth        required       pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth        sufficient     pam_unix.so nullok try_first_pass
auth        [default=die]  pam_faillock.so authfail audit deny=3 unlock_time=600
將以下行新增至帳戶部分兩個都上一步中指定的檔案：
account     required      pam_faillock.so

我特意停在這裡，因為這將提供大多數人正在尋找的功能。如果您希望包含 root 用戶，請繼續閱讀提供的連結。

RHEL6 中使用 pam_faillock 鎖定帳戶

答案1

相關內容