secpol.mscのアカウントロックアウトポリシーを介して、Windowsと同様に、XがX秒間試行に失敗した後、ロック画面でユーザーログインを拒否しようとしています。私たちはRHEL 8.2を使用しています。
追加してみました
auth required pam_faillock.so preauth silent audit deny=3 even_deny_root unlock_time=300
auth [default=die] pam_faillock.so authfail audit deny=3 even_deny_root unlock_time=300
そして
account required pam_faillock.so
/etc/pam.d/system-auth両方の合計 /etc/pam.d/password-auth
しかし、これはうまくいきません。試みが記録され、間違ったロックでこれを見ることができますが、ログインは決してブロックされません。 Linuxでこれを達成する簡単な方法はありますか?私の考えでは、これはロックされていますが、電源が入っている暗号化されたコンピュータを保護するために必要です。
ありがとうございます!
答え1
行の順序が重要です。/etc/pam.d/system-auth合計の結果は/etc/pam.d/password-auth次のとおりです。
auth required pam_env.so
auth required pam_faillock.so preauth silent audit deny=3 unlock_time=300
auth sufficient pam_fprintd.so
auth sufficient pam_unix.so nullok try_first_pass
auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=300
auth requisite pam_succeed_if.so uid >= 1000 quiet
auth required pam_deny.so