我按照下面的信息,但是,在服务器上inputlogin提示时,奇怪地阻止我input密码:
要将系统configuration为在多次不正确的login尝试后locking帐户,并要求pipe理员使用pam_faillock.so来解锁帐户:
在/etc/pam.d/system-auth中的pam_env.so语句正下方添加以下行:
auth [default = die] pam_faillock.so authfail deny = 3 unlock_time = 604800 fail_interval = 900
auth需要pam_faillock.so authsucc deny = 3 unlock_time = 604800 fail_interval = 900
在多次不正确的尝试之后locking用户帐户可防止直接的密码猜测攻击。 确保pipe理员参与解锁locking帐户,可以适当地关注这种情况。
我应该提到这是一个kickstart光盘上的后脚本的一部分,但不应该导致任何错误…任何想法? 我正在使用的确切线是:
sed -i“/pam_fprintd.so/i auth [default = die] pam_faillock.so authfail deny = 3 unlock_time = 604800 fail_interval = 900 \ nauth required pam_faillock.so authsucc deny = 3 unlock_time = 604800 fail_interval = 900”/ etc / pam .D /系统-AUTH
RHEL 6的DISA STIGs是一个糟糕的资源。 相反,请考虑CIS RHEL 6安全指南。
这甚至可以用于Winbind Active Directory帐户和本地rootlogin。 然后把你的名字和STIG ID,如果它帮助你记住未来的变化。
//# Modified By Jordi Rubalcaba STIG ID: RHEL-06-000357 auth required pam_faillock.so preauth silent deny=3 even_deny_root unlock_time=604800 fail_interval=900 auth [default=die] pam_faillock.so authfail deny=3 even_deny_root unlock_time=604800 fail_interval=900 //# Modified By Jordi Rubalcaba //# Modified By Jordi Rubalcaba account required pam_faillock.so 我认为你必须做的是翻转订单。 [default=die]会导致你所有的尝试都被认为是不好的尝试。 我正在遵循的指南有[default=die]秒。 我可以用本地帐户login; 我的问题是login与启用这些行的Active Directory帐户。 我评论他们,这一切工作正常。