当使用faillock和其他常见方法来防止密码暴力破解时,如何向用户显示该帐户在所有尝试中都被锁定(login、su、sudo、doas、pam等)?
我觉得不向度假回来后合法地尝试回忆密码的用户显示重要信息或某些事情对整个过程是有害的。现在,正确的密码对他们来说将被证明是错误的,并会造成更多麻烦。
答案1
你可以尝试类似的东西fail2ban。来自他们自己的文档:
Fail2Ban 扫描 /var/log/auth.log 等日志文件,并禁止进行过多失败登录尝试的 IP 地址。它通过更新系统防火墙规则以在可配置的时间内拒绝来自这些 IP 地址的新连接来实现此目的。
我不确定它是否适用于所有登录方法,但对于ssh会话非常有用。它的作用(默认情况下)是禁止特定 IP 地址进行身份验证。禁止期限取决于发生登录失败的次数。随着攻击的持续,禁令期限会变得更长。这减少了攻击者可以进行的尝试次数。
假设您的用户度假回来(或仍在度假),他们应该能够登录,因为他们的 IP 尚未被禁止。
答案2
正如 @MC68020 的评论中所建议的
删除或silent删除/etc/security/faillock.conf任何文件/etc/pam.d/,锁定消息将显示在大多数地方。
但是,正如@TelcoM 的评论中指出的那样,这可能会暴露系统上的有效用户名。