所以我正在努力完成一些事情,我不能完全理解。 我试图限制login尝试3(通过SSH,terminal或GUI,3次失败后,我想locking帐户1小时。
我有两个testing帐户在更改之前正常工作: user1 is an ldap account , user2 is a local account with a set password
在对rhel站点上build议的system-auth和password-auth进行更改后,我根本无法login。 幸运的是,我没有修改root帐户,我仍然可以访问系统,但是我没能find出错的地方。
system-auth和password-auth都是一样的,这是我的configuration:
auth required pam_env.so auth required pam_faillock.so preauth silent deny=3 unlock_time=3600 fail_interval=900 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail deny=3 unlock_time=3600 fail_interval=900 auth sufficient pam_faillock.so authsucc audit deny=3 auth requisite pam_succeed_if.so uid >= 500 quiet auth required pam_deny.so account required pam_faillock.so account required pam_unix.so account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quiet account required pam_permit.so password requisite pam_cracklib.so try_first_pass retry=3 type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5 password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so session optional pam_oddjob_mkhomedir.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so
我检查了passwd -S user1 ,它似乎并没有被locking,并在日志下,我可以看到两个帐户的Failed password 。
任何人都可以引导我或指出我能够完成我想要的东西吗? 我只是想执行失败的login尝试和locking时间。
首先, pam_faillock不lockingpasswd -S user所看到的帐户。 它永远不会用于LDAP帐户。 要查看通过此方法locking的帐户,只需运行faillock 。 例:
[root@localhost ~]# faillock john: When Type Source Valid 2013-03-05 11:44:14 TTY pts/0 V
要解锁用户的帐户,请运行:
faillock --user <username> --reset
现在,至于为什么这可能会给你的问题。 我不太确定auth部分中的第三个faillock行。 在我用来实现faillock 的例子中 ,它不存在。 另外,审计命令从第一个条目中丢失。
但是,我无法想象这是你的麻烦的原因,正如手册页所解释的那样。
审计
如果找不到用户,将把用户名logging到系统日志中。
您提到您使用RHEL站点来实现此目的。 看到这个URL并将其与我正在查看的内容进行比较可能会有帮助,因为它们略有不同。
请参阅: https : //access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/security_guide/index#sect-Security_Guide-Workstation_Security-Account_Locking