login
パスワードの無差別代入を防ぐために、障害ロックやその他の一般的な方法を使用するときに、すべての試行(、、、su
などsudo
)doas
でアカウントがロックされていることをユーザーにどのように表示しますかpam
?
休暇から帰ってから合法的にパスワードを覚えようとするユーザーにとって重要な情報や内容を表示しないのは、全体のプロセスに害を及ぼすようです。今、正しいパスワードは間違っていることが判明し、より多くの問題を引き起こすでしょう。
答え1
同様のことを試すことができますfail2ban
。独自の文書から:
Fail2Ban は /var/log/auth.log などのログファイルを調べ、ログインに失敗した回数が多すぎる IP アドレスをブロックします。これは、設定可能な期間中にそのIPアドレスからの新しい接続を拒否するようにシステムファイアウォールルールを更新することによって行います。
すべてのログイン方法で動作するかどうかはわかりませんが、ssh
セッションではうまく機能します。デフォルトで実行されるアクションは、特定のIPアドレスが認証されないようにブロックすることです。ブロック期間は、発生したログイン失敗の数によって異なります。攻撃が続くほど、禁止期間は長くなります。これにより、攻撃者が試すことができる回数が減ります。
ユーザーが休暇から戻ったと仮定した場合(またはまだ休暇中の場合)、そのIPがまだブロックされていないためにログインできる必要があります。
答え2
@MC68020のコメントで提案したとおり
ファイルを削除またはsilent
削除すると、ほとんどの場所にロックメッセージが表示されます。/etc/security/faillock.conf
/etc/pam.d/
ただし、@TelcoMが自分のコメントで指摘したように、これはシステムで有効なユーザー名を公開する可能性があります。