Раньше я спрашивал об использовании pam_tally2 под RHEL6. Я хотел бы задать этот вопрос и ответить, чтобы задокументировать рекомендуемое использование pam_faillock над pam_tally2 для той же функции;
Какая стратегия рекомендуется для временной блокировки учетной записи в Red Hat 6?
Модуль pam_faillock был представлен нам в Технические примечания для Red Hat Enterprise Linux 6.1. И до сих пор это как-то не было у меня на виду.
БЖ №644971
Был добавлен новый модуль pam_faillock для поддержки временной блокировки учетных записей пользователей в случае нескольких неудачных попыток аутентификации. Этот новый модуль улучшает функциональность по сравнению с существующим модулем pam_tally2, так как он также позволяет временную блокировку, когда попытки аутентификации выполняются через хранитель экрана.
В Руководство по безопасности объясняет нам, как использовать этот модуль, в разделе 2.1.9.5 «Блокировка учетной записи».
Выполните следующие действия, чтобы настроить блокировку учетной записи:
Чтобы заблокировать любого пользователя без полномочий root после трех неудачных попыток и разблокировать этого пользователя через 10 минут, добавьте следующие строки в раздел auth файла
/etc/pam.d/system-authи/etc/pam.d/password-authфайлы:auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600Добавьте следующую строку в раздел учетной записи обе файлы, указанные на предыдущем шаге:
account required pam_faillock.so
Я намеренно остановился на этом, потому что это обеспечит функциональность, которую большинство ищет. Если вы хотите включить пользователя root, продолжайте читать по предоставленной ссылке.