5回のログイン失敗後もPAMは自分のアカウントをブロックしていません。

tag-icon tag-icon security login authentication pam
5回のログイン失敗後もPAMは自分のアカウントをブロックしていません。

ログイン画面でパスワード入力が5回失敗した場合は、アカウントをブロックしたいと思います。フォローするこの記事しかし、効果はありません。理由はわかりません。これは私のコンテンツです/etc/pam.d/system-auth文書:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent audit deny=5 even_deny_root unlock_time=9999999
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        [default=die] pam_faillock.so authfail audit deny=5 even_deny_root unlock_time=99999999
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so
auth        required      pam_tally.so onerr=succeed deny=5 even_deny_root_account

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so
account     required      pam_faillock.so
password    requisite     pam_cracklib.so try_first_pass retry=5 minlen=8 minclass=3 max_repeat=1 difok=5 dcredit=1 ucredit=1 lcredit=1 ocredit=1 maxrepeat=1 gecoscheck enforce_for_root type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

これは私のコンテンツです/etc/pam.d/パスワードの確認:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent audit deny=5 unlock_time=99999
auth        sufficient    pam_unix.so nullok try_first_pass
auth        [default=die] pam_faillock.so authfail audit deny=5 unlock_time=99999
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so
account     required      pam_faillock.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

私はCentOS 6.5を使用していますが、pamはエラーがゼロであると言います。 編集する: 5回試行するとアカウントがロックされますが、コンピュータを再起動するとアカウントがロック解除されます。なぜですか?

答え1

私が知る限り、あなたの構成は正しいようです。

しかし、もしあなたが使うならSSHログインするには、プロフィールに設定されていることを確認してくださいUsePAM。それ以外の場合は、SSHログイン中にPAMのすべての内容が無視されます。デフォルト値は 。yessshd_configno

答え2

すべての変更を適用するためにシステムを再起動したとします。そうしないと、ログインアプリケーションは変更を認識しません。

/etc/pam.d/loginさらに、各PAMモジュールはさまざまな目的で使用されるため、すべての場合にログイン失敗後にPAMがアクセスをブロックするようにファイルに制限を適用する必要があります。

ログイン:ローカルログインルール。

システム認証: 多くのサービスの共通ルールです。

パスワード確認: 多くのリモートサービスの共通ルールです。

SSHD:SSHDデーモンにのみ適用されるルールです。

答え3

私は良い順序と良い文法を見つけました。数回のテストを経て、いよいよ成功しました。たぶん問題はオタイルかもしれません。したがって、これは5回の画面ロックを試みた後にユーザーをブロックするPAMのパラメータです。過度に単純なパスワード変更を防ぐために、パラメータにはルールも含まれています。

注:コンピュータが再起動すると、カウンタはリセットされます。

/etc/pam.d/system-auth:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent audit deny=5 even_deny_root unlock_time=99999
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        [default=die] pam_faillock.so authfail audit deny=5 unlock_time=99999
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so
account     required      pam_faillock.so

password    requisite     pam_cracklib.so try_first_pass retry=5 minlen=8 minclass=3 max_repeat=1 difok=5 dcredit=1 ucredit=1 lcredit=1 ocredit=1 maxrepeat=1 gecoscheck enforce_for_root type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

コンテンツ/etc/pam.d/パスワードの確認:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_faillock.so preauth silent audit deny=5 unlock_time=99999
auth        sufficient    pam_unix.so nullok try_first_pass
auth        [default=die] pam_faillock.so authfail audit deny=5 unlock_time=99999
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so
account     required      pam_faillock.so

password    requisite     pam_cracklib.so try_first_pass retry=5 minlen=8 minclass=3 max_repeat=1 difok=5 dcredit=1 ucredit=1 lcredit=1 ocredit=1 maxrepeat=1 gecoscheck enforce_for_root type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

関連情報