Limitar tentativas de login do usuário (Ubuntu 12.10, pam_tally.so, pam_tally2.so)

8

Primeiro, eu sou um novato em Linux, então tenha paciência comigo.

Muitos dos conselhos que encontrei na web para limitar tentativas de login não pertencem à Quantal. Tudo isso especifica o uso de pam_tally.soor pam_tally2.so, que parecem ser os mecanismos fundamentais do Linux para autenticação do usuário. Infelizmente, também parece que várias distros (RHEL, Ubuntu, Cent, etc.) apresentam pequenas variações nos requisitos de configuração.

Na 12.10, após a ativação pam_tally.so, os principais problemas que encontrei estão relacionados ao incremento incorreto do registro:

  • incrementa 2 vezes para cada falha de login
  • incrementa todos os outros usuários quando um usuário falha
  • incrementa todos os outros quando um usuário alterna contas

E outras variações desse comportamento. No entanto, ele bloqueia contas que excedem o limite, conforme necessário, e redefine o contador para 0 após um login bem-sucedido.

pam_tally2.so elimina alguns dos erros, como incrementar todos os outros usuários quando um usuário diferente falha, mas ainda incrementa o usuário 2 vezes para cada falha.

Aqui está a minha /etc/pam.d/common-authaparência:

auth    required                    pam_tally2.so  file=/var/log/tallylog deny=3
auth    [success=1 default=ignore]  pam_unix.so
account required            pam_tally2.so
auth    requisite           pam_deny.so
auth    required            pam_permit.so
auth    optional            pam_cap.so

Se eu duplicar as instruções nas páginas de manual pam_tally2.so, estou bloqueado da máquina e tenho que desfazer as alterações via root a partir de uma inicialização do LiveCD.

Minhas perguntas são:

  1. pam_tally.soAgora está totalmente obsoleto em favor de pam_tally2.so?
  2. Alguém tem um arquivo de autenticação comum que eles possam postar, que funciona exatamente como anunciado, para a 12.10 ? Quaisquer outras sugestões também são bem-vindas.
  3. 13.04 usa um mecanismo diferente do pam_tally para gerenciar contagens e bloqueios de login?

Se o 13.04 limitar os logins corretamente, com menos problemas do que 12.10, provavelmente migraria para ele, já que limitar as tentativas de login é um recurso necessário para esta máquina. Se as tentativas de login não puderem ser limitadas em alguma versão do Ubuntu, provavelmente terei que usar outra distribuição, como o CentOS.

12.10  login 
ubuntuFTW
fonte

Respostas:

5

Isso é da página pam_tally "man".

O pam_tally possui várias limitações, que são resolvidas com o pam_tally2. Por esse motivo, o pam_tally está obsoleto e será removido em uma versão futura.

Você pode visualizá-lo (e qualquer outro comando nesse formato) digitando o seguinte no Terminal:

man pam_tally

Você pretende implementar bloqueios no teclado e / ou na rede (ssh)? Não tenho um exemplo para você, mas abaixo você pode "encontrar as respostas que procura". Primeiro, você precisará editar o arquivo que você mencionou digitando este no Terminal:

sudo gedit /etc/pam.d/common-auth

Adicione isso na parte superior do arquivo (a ordem das regras é importante):

auth required pam_tally.so per_user magic_root onerr=fail

Isso define o número de tentativas permitidas

sudo faillog -m 3

A opção -l define o tempo de bloqueio.

faillog -m 3 -l 3600

Para desbloquear uma conta

faillog -u login_name -r

Créditos: http://blog.bodhizazen.com/linux/ubuntu-how-to-faillog/

Boa sorte e espero que você faça a escolha certa para ficar com o Ubuntu.

conman253
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.