pam_tally2 は失敗したログインを追加します。

Question

質問

私のコンピュータのいずれかで同様の動作が表示されます。sudo正しいパスワードを使用すると、pam_tally2カウンターにエントリが生成されます。

コンテキスト

このpam.d/sudo項目はデフォルトで、非常に簡単です。

session    required   pam_env.so readenv=1 user_readenv=0
session    required   pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0
@include common-auth
@include common-account
@include common-session-noninteractive

common-auth一番上の行の前に次の行を追加しました。pam_tally2.sopam_unix.so

auth    required                    pam_tally2.so onerr=fail audit deny=5 unlock_time=900

# here are the per-package modules (the "Primary" block)
auth    [success=1 default=ignore]  pam_unix.so nullok_secure

# here's the fallback if no module succeeds
auth    requisite           pam_deny.so

# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth    required            pam_permit.so

# and here are more per-package modules (the "Additional" block)
auth    optional            pam_cap.so

説明する

マニュアルpam_tally2ページには次のように指定されています（強調）。

認証フェーズは、試行されたログインカウンタを増やし、ユーザーのアクセスを拒否する必要があるかどうかを確認することから始まります。ユーザーが認証された場合pam_setcred(3) が呼び出されると、ログインプロセスが続行されます。試行カウンターをリセットします。

したがって、これまではスタックが正しく呼び出されていないようですpam_setcred。ファイルはpam.d呼び出されませんpam_setcred（システムにインストールされていません）。

解決策

例では、マニュアルページには次のように指定されています（強調表示）。

モジュールを呼び出す必要はありません。アカウント段階でログインが正しく pam_setcred(3) を呼び出すためです。

pam_setcredしたがって、呼び出しがない場合は、accountこのステップでモジュールを呼び出す必要があります。

ファイルを編集pam.d/common-accountし、一番上に追加しました。

account required                        pam_tally2.so

ユーザーが認証を完了すると、カウンタがリセットされます。

太陽

ユーザーが認証をキャンセルした場合（パスワードの入力を求められたときにCtrl + Cを押す）、カウンターは減少せずに増加するため、失敗した試行と区別することはできません。

Answer 1

質問

私のコンピュータのいずれかで同様の動作が表示されます。sudo正しいパスワードを使用すると、pam_tally2カウンターにエントリが生成されます。

コンテキスト

このpam.d/sudo項目はデフォルトで、非常に簡単です。

session    required   pam_env.so readenv=1 user_readenv=0
session    required   pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0
@include common-auth
@include common-account
@include common-session-noninteractive

common-auth一番上の行の前に次の行を追加しました。pam_tally2.sopam_unix.so

auth    required                    pam_tally2.so onerr=fail audit deny=5 unlock_time=900

# here are the per-package modules (the "Primary" block)
auth    [success=1 default=ignore]  pam_unix.so nullok_secure

# here's the fallback if no module succeeds
auth    requisite           pam_deny.so

# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth    required            pam_permit.so

# and here are more per-package modules (the "Additional" block)
auth    optional            pam_cap.so

説明する

マニュアルpam_tally2ページには次のように指定されています（強調）。

認証フェーズは、試行されたログインカウンタを増やし、ユーザーのアクセスを拒否する必要があるかどうかを確認することから始まります。ユーザーが認証された場合pam_setcred(3) が呼び出されると、ログインプロセスが続行されます。試行カウンターをリセットします。

したがって、これまではスタックが正しく呼び出されていないようですpam_setcred。ファイルはpam.d呼び出されませんpam_setcred（システムにインストールされていません）。

解決策

例では、マニュアルページには次のように指定されています（強調表示）。

モジュールを呼び出す必要はありません。アカウント段階でログインが正しく pam_setcred(3) を呼び出すためです。

pam_setcredしたがって、呼び出しがない場合は、accountこのステップでモジュールを呼び出す必要があります。

ファイルを編集pam.d/common-accountし、一番上に追加しました。

account required                        pam_tally2.so

ユーザーが認証を完了すると、カウンタがリセットされます。

太陽

ユーザーが認証をキャンセルした場合（パスワードの入力を求められたときにCtrl + Cを押す）、カウンターは減少せずに増加するため、失敗した試行と区別することはできません。

pam_tally2 は失敗したログインを追加します。

質問

答え1

質問

コンテキスト

説明する

解決策

太陽

関連情報