Я пытаюсь настроить свою систему на блокировку неактивных пользователей через 10 дней. Я использую CentOS 6.x и, глядя на руководство RHEL, я обнаружил следующее:
To lock out an account after 10 days of inactivity, add, as root,
the following line to the auth section of the /etc/pam.d/login file:
auth required pam_lastlog.so inactive=10
Итак, это мой /etc/pam.d/login:
#%PAM-1.0
auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
auth include system-auth
auth required pam_lastlog.so inactive=10
account required pam_nologin.so
account include system-auth
password include system-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
session optional pam_console.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session include system-auth
-session optional pam_ck_connector.so
Я вхожу в систему через ssh как пользователь и выхожу из системы.
После этого я установил время на 1 год в будущем, когда root вошел в систему на TTY1:
# date --set "...."
# hwclock --systohc
Я даже перезагружаю виртуальную машину, но все же, когда она вернется, я могу войти в систему как пользователь через ssh.
Есть идеи, что я здесь делаю не так?
Я даже перезагружаю виртуальную машину, но все же, когда она вернется, я могу войти в систему как пользователь через ssh.
Яблоки и апельсины. Вы редактируете login
файл, но вы проводите тесты против sshd
. Демон sshd вызывает библиотеку PAM напрямую с именем службы sshd
, поэтому используется файл с таким же именем.
Если вы не знали, что login
файл сопоставляется с попытками аутентификации фактическим команда именованный логин (который вызывается вашим getty), man login
рекомендуется материал для чтения.