Назад | Перейти на главную страницу

невозможно войти в систему после внесения изменений в system-auth и password-auth

поэтому я пытаюсь чего-то достичь, но не могу этого понять. Я пытаюсь ограничить количество попыток входа в систему до 3 (через ssh, терминал или графический интерфейс. После этих 3 неудачных попыток я хочу заблокировать учетную запись на 1 час.

У меня есть две тестовые учетные записи, которые до изменений нормально работали: user1 is an ldap account и user2 is a local account with a set password

После внесения изменений в system-auth и password-auth, предложенных на сайте rhel, я вообще не могу войти в систему. К счастью, я не изменил учетную запись root, и я все еще могу получить доступ к системе, но не могу понять, что пошло не так.

Оба файла system-auth и password-auth такие же, вот конфиг, который у меня есть:

auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent deny=3 unlock_time=3600 fail_interval=900
auth        sufficient    pam_unix.so nullok try_first_pass
auth        [default=die] pam_faillock.so authfail deny=3 unlock_time=3600 fail_interval=900
auth        sufficient     pam_faillock.so authsucc audit deny=3
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so

account     required      pam_faillock.so
account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     optional      pam_oddjob_mkhomedir.so 
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

Я проверил passwd -S user1 и, похоже, он не заблокирован, и все, что я вижу под журналами, это Failed password для обоих аккаунтов.

Может ли кто-нибудь направить меня или указать мне, чтобы я мог достичь того, чего я хочу? Я просто хочу принудительно установить неудачные попытки входа в систему и время блокировки.

Первый, pam_faillock не блокирует учетную запись, как видит passwd -S user. Это никогда не сработает для учетных записей LDAP. Чтобы увидеть учетные записи, заблокированные этим методом, просто запустите faillock. Пример:

[root@localhost ~]# faillock
john:
When                Type  Source                                           
Valid
2013-03-05 11:44:14 TTY   pts/0                                                
V

Чтобы разблокировать учетную запись пользователя, запустите:

faillock --user <username> --reset

Теперь о том, почему это может вызывать у вас проблемы. Я не уверен в этой третьей строке блокировки в разделе аутентификации. В пример, который я использовал чтобы реализовать faillock, его нет. Кроме того, в первой записи отсутствует команда аудита.

Но я не могу представить, что это причина вашей проблемы, как объясняется на странице руководства.

аудит

Запишет имя пользователя в системный журнал, если пользователь не найден.

Вы упомянули, что использовали сайт RHEL для реализации этого. Может быть полезно увидеть этот URL-адрес и сравнить его с тем, что я просматриваю, потому что они немного отличаются.

Видеть: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/security_guide/index#sect-Security_Guide-Workstation_Security-Account_Locking