私は複数のPCでDebianバスターを実行しています。私はこのpam_tally2モジュールを使用してシステムにセキュリティを追加しました。sshデスクトップログインでテストしましたが、完全に機能しました。
したがって、追加のセキュリティ層のためにすべてのPCがPAMで保護されている場合ユーザーパスワードを変更しました。
その後、システムを再起動するまですべてが正常でした。システムを再起動またはログアウトしてログインするたびに、ログインを試みる前に5回または10回、または必要な回数だけ失敗します。これはシステムからログアウトし、root別のアカウント(または)を使用してシステムに入り、/etc/pam.d/common-authログイン編集でのみ問題を解決できました。
臨時方便で毎回ログインできるように試み回数を20回に増やしました。
しかし、私が何か間違っているか、これはモジュールのバグです。
私の立場では、common-authこの行を追加してファイルのみを編集しました。
auth required pam_tally2.so onerr=fail deny=3 unlock_time=600 audit
メインブロックから次のauthリストを生成します。
auth required pam_tally2.so onerr=fail deny=5 unlock_time=1200
auth [success=1 default=ignore] pam_unix.so nullok_secure
auth requisite pam_deny.so
auth required pam_permit.so
どんな考えや意見でも大変感謝します!
2番目の編集システムでは、これが重複していない理由の説明が必要です。このPAMコードがDebianシステムへのすべてのログインをブロックするのはなぜですか?」
- スタックの上部にあるリストにpam_tally2を含めました。
- また、正常にログインすると、カウンタは0に設定されます。
- アカウントのパスワードを変更した後、この問題が発生します。
- 別のアカウントでシステムにログインするのに問題はありません。 (パスワードは変更されていません。)
答え1
Debian では、Buster Tally2 はすでにシステムの一部ですが、ユーザーが設定を変更しない限り、何もブロックしません。それはとても簡単です。ファイルを1つ編集するだけです。
sudo nano /etc/pam.d/common-auth
2行を追加する必要があります。これはコメント#ここで次の最初の行でなければなりません。パッケージ固有のモジュールの追加は次のとおりです。
‘auth required pam_tally2.so onerr=fail deny=n unlock_time=m audit’
ここで、n はアカウントがブロックされる前に許可されるログイン試行の数です。ブロックしてもログインを試みることはできますが、正しいパスワードを入力してもシステムからログインできません。 mはアカウントがロックされた時間(秒単位)です。その後、正しいパスワードを入力してログインできます。
2行目をファイルの最後の行として追加できます。ログイン試行が失敗するかロック時間内にあるたびに、Tally2はログイン試行回数を計算します。この数がnより大きい場合、システムはロックされています。ただし、正しいパスワードでログインしてカウンターを0に設定するには、システムに次のことを知らせる必要があります。
pam_tally2.so アカウントが必要です。
この2行だけを追加してください