Ogranicz próby logowania użytkownika (Ubuntu 12.10, pam_tally.so, pam_tally2.so)

8

Po pierwsze, jestem względnym nowicjuszem w Linuksie, więc proszę o wyrozumiałość.

Wiele porad, które znalazłem w sieci na temat ograniczania prób logowania, nie dotyczy Quantal. Wszystko to określa użycie pam_tally.solub pam_tally2.so, które wydają się być podstawowymi mechanizmami Linuksa do uwierzytelnienia użytkownika. Niestety wydaje się również, że różne dystrybucje (RHEL, Ubuntu, Cent itp.) Mają niewielkie różnice w zakresie wymagań konfiguracyjnych.

W 12.10 po włączeniu pam_tally.sogłówne problemy, które napotkałem, są związane z niepoprawnym zwiększaniem sumy:

  • zwiększa się 2 razy dla każdego niepowodzenia logowania
  • zwiększa wszystkich innych użytkowników, gdy użytkownik zawiedzie
  • zwiększa wszystkie inne, gdy użytkownik zmienia konto

I inne odmiany tego zachowania. Jednak blokuje konta, które przekraczają limit, zgodnie z wymaganiami, i resetuje licznik do 0 po udanym zalogowaniu.

pam_tally2.so eliminuje niektóre błędy, takie jak inkrementacja wszystkich innych użytkowników, gdy inny użytkownik zawiedzie, ale nadal zwiększa użytkownika 2 razy za każdą awarię.

Oto jak /etc/pam.d/common-authwygląda mój :

auth    required                    pam_tally2.so  file=/var/log/tallylog deny=3
auth    [success=1 default=ignore]  pam_unix.so
account required            pam_tally2.so
auth    requisite           pam_deny.so
auth    required            pam_permit.so
auth    optional            pam_cap.so

Jeśli powielę instrukcje dla stron podręcznika dla pam_tally2.so, jestem zablokowany z komputera i muszę cofnąć zmiany poprzez root z bootowania LiveCD.

Moje pytania to:

  1. Czy pam_tally.soteraz jest całkowicie przestarzałe na korzyść pam_tally2.so?
  2. Czy ktoś ma działający plik wspólnego uwierzytelniania, który może opublikować, który działa dokładnie tak, jak w reklamie, na 12.10 ? Wszelkie inne sugestie są również mile widziane.
  3. Czy 13.04 używa innego mechanizmu niż pam_tally do zarządzania liczbą logowania i blokadami?

Jeśli 13.04 poprawnie ogranicza logowanie, z mniejszym kłopotem niż 12.10, prawdopodobnie migrowałbym do niego, ponieważ ograniczenie prób logowania jest konieczną funkcją dla tego komputera. Jeśli próby logowania nie mogą być ograniczone w niektórych wersjach Ubuntu, prawdopodobnie będę musiał użyć innej dystrybucji, takiej jak CentOS.

12.10  login 
ubuntuFTW
źródło

Odpowiedzi:

5

To jest ze strony pam_tally „man”.

pam_tally ma kilka ograniczeń, które zostały rozwiązane za pomocą pam_tally2. Z tego powodu pam_tally jest nieaktualny i zostanie usunięty w przyszłej wersji.

Możesz go wyświetlić (i dowolne inne polecenie w tym formacie), wpisując w Terminalu:

man pam_tally

Czy zamierzasz wprowadzić blokady na klawiaturze i / lub w sieci (ssh)? Nie mam dla ciebie przykładu, ale poniżej możesz „znaleźć odpowiedzi, których szukasz”. Najpierw musisz edytować wspomniany plik, wprowadzając go z terminalu:

sudo gedit /etc/pam.d/common-auth

Dodaj to na górze pliku (kolejność reguł ma znaczenie):

auth required pam_tally.so per_user magic_root onerr=fail

Ustawia liczbę dozwolonych prób

sudo faillog -m 3

Opcja -l ustawia czas blokady.

faillog -m 3 -l 3600

Aby odblokować konto

faillog -u login_name -r

Kredyty: http://blog.bodhizazen.com/linux/ubuntu-how-to-faillog/

Powodzenia i mam nadzieję, że dokonacie mądrego wyboru, aby pozostać w Ubuntu.

conman253
źródło
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.