блокировка учетной записи pam не работает на RHEL7

Я использовал конфигурацию на веб-сайте RHEL ниже, однако блокировка учетной записи PAM не работает должным образом. Несмотря на то, что я вручную разблокировал пользователя с правами root, я не могу войти в систему с этим пользователем, и я не могу даже войти в систему с любым пользователем после применения этих настроек (кроме root). Мне не хватает каких-то других настроек в других файлах, таких как sshd или что-то еще?

: //access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/chap-Harden_Your_System_with_Tools_and_Services.html#sect-Security_Guide-Workstation_Security-Workstation

Мои конфигурации в файлах /etc/pam.d/system-auth и /etc/pam.d/password-auth ...

auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth        sufficient    pam_unix.so nullok try_first_pass
auth        [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

account     required      pam_faillock.so

BR,

Утку


authentication account rhel7 locking pam
person Utku Yıldırım    schedule 20.09.2016    source источник

Ответы (2)


arrow_upward
0
arrow_downward

Пожалуйста, используйте это для блокировки учетных записей после неудачных попыток входа в систему

auth        required      pam_env.so
auth        required      pam_tally2.so deny=4 even_deny_root unlock_time=1200
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so


account     required      pam_tally2.so

Обновите как password-auth, так и system-auth, если вы хотите разрешить доступ root, удалите часть even_deny_root

Вы можете отслеживать неудачные попытки, используя

pam_tally2

Надеюсь, это поможет.

person VinRocka    schedule 24.01.2017

arrow_upward
0
arrow_downward

У меня это сработало ... Я добавил even_deny_root в pam_faillock preauth и переместил файл pam_unix nullok на шаг вниз.

auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent even_deny_root audit deny=3 unlock_time=600
auth        [default=die] pam_faillock.so authfail audit deny=3 
auth        sufficient    pam_unix.so nullok try_first_pass
unlock_time=600
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

account     required      pam_faillock.so
person ayedaemon    schedule 15.06.2021