1 votos

incrememts de pam_tally2 antes de contraseña para los intentos de su

Hay un comportamiento similar aquí , pero creo que esta es otra causa subyacente, o al menos requiere una solución diferente ya que este fracaso no se debe a que las claves SSH.

Nuestra empresa está experimentando un Linux de auditoría y necesito habilitar PAM el bloqueo de la cuenta por 3 intentos de contraseña incorrecta. Yo no tengo ninguna anterior PAM experiencia.

Si me quedo pam_tally2 -u testuser inmediatamente después de ejecutar su testuser pero antes de entrar la contraseña, el pam_tally de los fallos que ya es el 1, aunque todavía no he introducido una contraseña.

Entiendo que en el caso que vinculados a lo anterior que la pre-contraseña-incremento es causado por un error de intercambio de claves SSH, pero después de leer man su no parece como un intercambio de claves está involucrado. Así que mi pregunta es "¿por qué no su causa pam_tally para incrementar antes de la introducción de una contraseña?"

Estoy haciendo mi mejor esfuerzo para asegurarse de que los intentos de inicio de sesión/bloquea todo el partido entre sshd_config, PAM, fail2ban, y /etc/login.def, pero es difícil cuando pam_tally recuentos de eventos no estoy esperando!

SO es Ubuntu server 14.04

Sólo PAM config cambios realizados en el servidor están en /etc/pam.d/common-auth añadir esta línea en la parte superior:

auth    required pam_tally2.so deny=3 unlock_time=900

Gracias!

2voto

Johnny Puntos 160

Una lectura cuidadosa de lo pam_tally2 ¿le explicará el comportamiento que estás viendo. Usted está esperando para ver cómo muchos intentos fallidos en el inicio de sesión se han producido; sin embargo, el man página explica (el énfasis es mío):

Este módulo mantiene un recuento de intentos de accesos

Por lo que se está comportando exactamente como se pretende. Cuando su user, independientemente de si usted tiene o ha escrito una contraseña (correcta o incorrecta), debe inmediatamente intento de acceso. Cuando, a continuación, introduzca la contraseña correcta, la cuenta se reinicia a 0. Usted tiene establezca el número máximo de intentos de 3, por lo que obtener un error tan pronto como se haya excedido - que es el 4to intento que genera el error.

El comportamiento es correcto, y ahora que entendemos lo pam_tally2 realmente hace, es razonable.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: