pam_tally2 添加额外的失败登录

Question

问题

我在我的一台机器上看到类似的行为：使用sudo正确的密码会在pam_tally2计数器中生成一个条目。

语境

该pam.d/sudo条目是默认条目，非常简单：

session    required   pam_env.so readenv=1 user_readenv=0
session    required   pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0
@include common-auth
@include common-account
@include common-session-noninteractive

在中，我在顶部行之前common-auth添加了行：pam_tally2.sopam_unix.so

auth    required                    pam_tally2.so onerr=fail audit deny=5 unlock_time=900

# here are the per-package modules (the "Primary" block)
auth    [success=1 default=ignore]  pam_unix.so nullok_secure

# here's the fallback if no module succeeds
auth    requisite           pam_deny.so

# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth    required            pam_permit.so

# and here are more per-package modules (the "Additional" block)
auth    optional            pam_cap.so

解释

手册pam_tally2页指出（重点是我的）：

身份验证阶段首先增加尝试登录计数器并检查是否应拒绝用户访问。如果用户已通过身份验证并且登录过程在调用 pam_setcred(3) 时继续它重置尝试计数器。

所以，到目前为止，我相信堆栈没有正确调用pam_setcred.没有文件pam.d被调用pam_setcred（它甚至没有安装在我的系统上）。

解决方案

在示例中，手册页指出（强调我的）：

该模块不必被调用在账户阶段因为登录正确调用了 pam_setcred(3)。

因此，如果没有调用pam_setcred，则需要在该account阶段调用该模块。

我编辑了pam.d/common-account文件并在顶部添加了：

account required                        pam_tally2.so

当用户设法进行身份验证时，这将重置计数器。

去做

如果用户取消身份验证（例如，在提示输入密码时按 Ctrl+C），则计数器会增加而不减少，因此无法将其与失败的尝试区分开来。

Answer 1

问题

我在我的一台机器上看到类似的行为：使用sudo正确的密码会在pam_tally2计数器中生成一个条目。

语境

该pam.d/sudo条目是默认条目，非常简单：

session    required   pam_env.so readenv=1 user_readenv=0
session    required   pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0
@include common-auth
@include common-account
@include common-session-noninteractive

在中，我在顶部行之前common-auth添加了行：pam_tally2.sopam_unix.so

auth    required                    pam_tally2.so onerr=fail audit deny=5 unlock_time=900

# here are the per-package modules (the "Primary" block)
auth    [success=1 default=ignore]  pam_unix.so nullok_secure

# here's the fallback if no module succeeds
auth    requisite           pam_deny.so

# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth    required            pam_permit.so

# and here are more per-package modules (the "Additional" block)
auth    optional            pam_cap.so

解释

手册pam_tally2页指出（重点是我的）：

身份验证阶段首先增加尝试登录计数器并检查是否应拒绝用户访问。如果用户已通过身份验证并且登录过程在调用 pam_setcred(3) 时继续它重置尝试计数器。

所以，到目前为止，我相信堆栈没有正确调用pam_setcred.没有文件pam.d被调用pam_setcred（它甚至没有安装在我的系统上）。

解决方案

在示例中，手册页指出（强调我的）：

该模块不必被调用在账户阶段因为登录正确调用了 pam_setcred(3)。

因此，如果没有调用pam_setcred，则需要在该account阶段调用该模块。

我编辑了pam.d/common-account文件并在顶部添加了：

account required                        pam_tally2.so

当用户设法进行身份验证时，这将重置计数器。

去做

如果用户取消身份验证（例如，在提示输入密码时按 Ctrl+C），则计数器会增加而不减少，因此无法将其与失败的尝试区分开来。

pam_tally2 添加额外的失败登录

问题

答案1

问题

语境

解释

解决方案

去做

相关内容