Назад | Перейти на главную страницу

Red Hat 6.5 - Ошибки входа после усиления безопасности

Я следил за приведенной ниже информацией, однако она странным образом не позволяет мне вводить пароль при вводе запроса на вход на сервере:

Чтобы настроить систему на блокировку учетных записей после нескольких неправильных попыток входа в систему и потребовать от администратора разблокировать учетную запись с помощью pam_faillock.so:

Добавьте следующие строки непосредственно под оператором pam_env.so в /etc/pam.d/system-auth:

auth [default = die] pam_faillock.so authfail deny = 3 unlock_time = 604800 fail_interval = 900

требуется авторизация pam_faillock.so authsucc deny = 3 unlock_time = 604800 fail_interval = 900

Блокировка учетных записей пользователей после нескольких неправильных попыток предотвращает атаки с прямым подбором пароля. Обеспечение участия администратора в разблокировке заблокированных учетных записей привлекает соответствующее внимание к таким ситуациям.

Я должен упомянуть, что это часть почтового скрипта на кикстарт-диске, но это не должно вызывать никаких ошибок ... Есть мысли? Я использую точную строку:

sed -i "/pam_fprintd.so/ i auth [default = die] pam_faillock.so authfail deny = 3 unlock_time = 604800 fail_interval = 900 \ nauth требуется pam_faillock.so authsucc deny = 3 unlock_time = 604800 fail_interval = 900" / etc / pam .d / system-auth

DISA STIG для RHEL 6 - плохой ресурс. Вместо этого рассмотрите руководство по безопасности CIS RHEL 6.

Это будет работать даже для учетных записей Winbind Active Directory и входа в систему с локальным root-доступом. Затем укажите свое имя и STIG ID, если это поможет вам запомнить для будущих изменений.

//# Modified By Jordi Rubalcaba STIG ID:    RHEL-06-000357
auth    required      pam_faillock.so preauth silent deny=3 even_deny_root unlock_time=604800 fail_interval=900
auth    [default=die] pam_faillock.so authfail deny=3 even_deny_root unlock_time=604800 fail_interval=900
//# Modified By Jordi Rubalcaba

//# Modified By Jordi Rubalcaba
account      required pam_faillock.so

Я думаю, что вам нужно изменить порядок вещей. В [default=die] заставляет все ваши попытки засчитываться как плохой попытки. Руководство, за которым я следую, имеет [default=die] второй. Я могу войти в систему с локальными учетными записями; Моя проблема заключается в входе в систему с учетными записями Active Directory с включенными этими строками. Я их комментирую, и все работает нормально.