поэтому я пытаюсь чего-то достичь, но не могу этого понять. Я пытаюсь ограничить количество попыток входа в систему до 3 (через ssh, терминал или графический интерфейс. После этих 3 неудачных попыток я хочу заблокировать учетную запись на 1 час.
У меня есть две тестовые учетные записи, которые до изменений нормально работали: user1 is an ldap account
и user2 is a local account with a set password
После внесения изменений в system-auth и password-auth, предложенных на сайте rhel, я вообще не могу войти в систему. К счастью, я не изменил учетную запись root, и я все еще могу получить доступ к системе, но не могу понять, что пошло не так.
Оба файла system-auth
и password-auth
такие же, вот конфиг, который у меня есть:
auth required pam_env.so
auth required pam_faillock.so preauth silent deny=3 unlock_time=3600 fail_interval=900
auth sufficient pam_unix.so nullok try_first_pass
auth [default=die] pam_faillock.so authfail deny=3 unlock_time=3600 fail_interval=900
auth sufficient pam_faillock.so authsucc audit deny=3
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_deny.so
account required pam_faillock.so
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_oddjob_mkhomedir.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
Я проверил passwd -S user1
и, похоже, он не заблокирован, и все, что я вижу под журналами, это Failed password
для обоих аккаунтов.
Может ли кто-нибудь направить меня или указать мне, чтобы я мог достичь того, чего я хочу? Я просто хочу принудительно установить неудачные попытки входа в систему и время блокировки.
Первый, pam_faillock
не блокирует учетную запись, как видит passwd -S user
. Это никогда не сработает для учетных записей LDAP. Чтобы увидеть учетные записи, заблокированные этим методом, просто запустите faillock
. Пример:
[root@localhost ~]# faillock
john:
When Type Source
Valid
2013-03-05 11:44:14 TTY pts/0
V
Чтобы разблокировать учетную запись пользователя, запустите:
faillock --user <username> --reset
Теперь о том, почему это может вызывать у вас проблемы. Я не уверен в этой третьей строке блокировки в разделе аутентификации. В пример, который я использовал чтобы реализовать faillock, его нет. Кроме того, в первой записи отсутствует команда аудита.
Но я не могу представить, что это причина вашей проблемы, как объясняется на странице руководства.
аудит
Запишет имя пользователя в системный журнал, если пользователь не найден.
Вы упомянули, что использовали сайт RHEL для реализации этого. Может быть полезно увидеть этот URL-адрес и сравнить его с тем, что я просматриваю, потому что они немного отличаются.