Я пытаюсь реализовать блокировку учетной записи после трех неудачных попыток входа. Root освобожден.
Вот что у меня в /etc/pam.d/system-auth файл до сих пор
auth required pam_tally2.so deny=3 onerr=fail magic_root
account required pam_tally2.so
На моем /etc/pam.d/sshd файл, я добавил следующую строку
auth required pam_tally2.so deny=3 onerr=fail magic_root
Однако это не работает. Я пробовал войти через SSH с тестовым пользователем без полномочий root и неправильным паролем, но это не заблокировало меня.
Однако, если я настрою /etc/pam.d/sshd file и удалите строку magic_root, например:
auth required pam_tally2.so deny=3 onerr=fail
Тестовая учетная запись будет заблокирована.
Я что-то упускаю?
Кроме того, может кто-нибудь объяснить разницу между /etc/pam.d/system-auth и /etc/pam.d/password-auth? Должны ли такие настройки входить в system-auth или password-auth? Спасибо
У меня нет личного опыта, но я думаю, что вы неправильно читаете страницу руководства для pam_tally2.
Мой говорит
magic_root
Если модуль вызывается пользователем с uid = 0, счетчик не увеличивается. Системный администратор должен использовать это для служб, запускаемых пользователем, например su, в противном случае этот аргумент следует опустить.
Обратите внимание на комментарий об использовании только с su. Зачем? Поскольку в большинстве случаев этот модуль always вызывается пользователем с EUID 0, поскольку большинство системных служб, которые будут использовать этот модуль (passwd, sshdи т. д.) запускаются с правами root, что и должно быть.
Итак, какой флаг вам нужно установить, чтобы избежать блокировки root этим модулем, например, sshd? На странице руководства также говорится, что:
Обычно неудачные попытки доступа к root не приводят к блокировке учетной записи root, чтобы предотвратить отказ в обслуживании: если вашим пользователям не предоставлены учетные записи оболочки, и root может войти в систему только через su или с консоли машины (не telnet / rsh и т. д.), это безопасно.
Другими словами, желаемое поведение уже установлено по умолчанию.