服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Ubuntu中的帐户locking
Intereting Posts
邮件发送服务器被mx.hotmail.com拒绝 WIN是否仍然受Microsoft支持? 计算匹配的盐族奴隶的数量 无法validationLDAP服务器的SSL证书颁发者 阿帕奇需要5%的RAM内存 Windows 2008 R2服务器为子网外的IP发送Arp请求 从数据库Apache的基本authentication,而不是从文件如何? Apache错误日志显示文件webdav,wp-login.php不存在 – 可能的攻击 查看物理磁盘的存储空间分配 有一个HTOP日志 透明的git-svn网关 在高负载下退化服务 MySQL数据库服务器有更多的内核或更多内核? HP DL380e Linux没有看到安装驱动器arrays 问题与openSSH

Ubuntu中的帐户locking

我正在尝试使用pam_tally为Ubuntu系统实现帐户locking。 在3次无效的login尝试中,login应该被禁用一定的时间间隔。 这应该发生在系统和LDAPlogin到系统上。

(我们有一个有效的LDAP中央authentication系统,来自Ubuntu客户端的用户可以进行authentication)

我们如何configuration这个? 我可以看到一些关于这个红帽的文章,但不是Ubuntu的

如果您已经configuration了pam_tally ,则只需将其添加到/etc/pam.d/common-auth目录即可。 对于来自LDAP的失败login应该出现在PAM上 – 就像在本地机器上login失败一样。 所以只要确保你的订单是正确的: 

 auth required /lib/security/$ISA/pam_tally.so onerr=fail no_magic_root account required /lib/security/$ISA/pam_tally.so per_user deny=5 no_magic_root reset

(根据需要修改path)

(资源)

上述的答案对于现代的RHEL 5和Ubuntu安装是不正确的。 这是事实,我不能确定什么时候发生了变化,但是在2011年8月30日的OP之前确实发生过(根据2011年8月发布的CIS基准)。 拒绝=需要在一个授权行,而不是一个帐户行。 互联网上的各种资源在这一点上已经过时/不正确。

请参阅pam_tally的手册页:
http://linux.die.net/man/8/pam_tally
http://manpages.ubuntu.com/manpages/hardy/man8/pam_tally.8.html

…你会看到拒绝是一个“授权”选项,而不是一个帐户选项。

这些是正确的设置:(在RHEL中的system-auth / system-auth-ac和Ubuntu中的common-auth) 

 #Actually locks out the user; put BEFORE pam_unix.so auth line. auth required pam_tally2.so deny=5 onerr=fail unlock_time=900

(在RHEL中是system-auth / system-auth-ac,在Ubuntu中是common-account) 

 #Resets the failed counter if the user finally gets in successfully. This is only needed to support programs that do not call pam_setcred(3) correctly (like sshd). Put BEFORE pam_unix.so account line. account required pam_tally2.so

请注意,pam_tally2已经取代了pam_tally。 Pam_tally仍然有效,如果单独使用pam_tally,则拒绝= 5仍然必须位于授权行而不是帐户行。 在当前版本的NSA和CIS RHEL加固指南中推荐使用Pam_tally2。

一些互联网来源build议您添加magic_root语句,以便在用户input错误的sudo密码时,root帐户不会被locking。 我在testing中没有发现这是真实的。 如果用户为suinput了一个不正确的密码,那可能是真的,但是没有人应该直接根直接,如果他们input了不正确的密码,那么对我来说,root会被locking。 如果你确实有magic_root,有些消息提示你还需要在/etc/pam.d/sshd中添加行; 我没有尝试过。

Pam_tally2有以下改进/更改:

  • GLOBAL:新的“silent”和“no_log_info”选项
  • AUTH:even_deny_root_account – > even_deny_root
  • AUTH:per_user已弃用
  • AUTH:新的root_unlock_time和序列化选项
  • ACCOUNT:no_reset不build议使用
  • “faillog”不再有效; 使用pam_tally2列出locking的用户或重置用户。

NSA RHEL强化指南和RHEL 5的最新CIS基准testing中提供了正确的设置。NSA RHEL强化指南指出,在RHEL生命周期中,pam_tally的行为已经发生变化,并且新的更正设置可能无法在系统上运行不是最新的。

注:在RHEL 6中,语法不同。 这在RHEL 6的独联体基准testing中显示,但是我没有testing过这些设置。

资料来源:
http://linux.die.net/man/8/pam_tally
http://man.he.net/man8/pam_tally2
http://manpages.ubuntu.com/manpages/hardy/man8/pam_tally.8.html
http://manpages.ubuntu.com/manpages/lucid/man8/pam_tally2.8.html
http://www.nsa.gov/ia/_files/os/redhat/NSA_RHEL_5_GUIDE_v4.2.pdf
https://benchmarks.cisecurity.org/tools2/linux/CIS_Redhat_Linux_5_Benchmark_v2.0.0.pdf