在 RHEL6 中使用 pam_faillock 锁定帐户

在 RHEL6 中使用 pam_faillock 锁定帐户

之前,我问过使用RHEL6 下的 pam_tally2。我想提出这个问题和答案来记录建议的使用pam_faillock 超过 pam_tally2具有相同的功能;

Red Hat 6 中临时帐户锁定的推荐策略是什么?

答案1

pam_faillock 模块是在Red Hat Enterprise Linux 6.1 技术说明. 但不知何故,直到现在我才注意到这一点。

巴兹#644971
添加了新的 pam_faillock 模块,以支持在多次身份验证尝试失败时暂时锁定用户帐户。这个新模块改进了现有 pam_tally2 模块的功能,因为它还允许在通过屏幕保护程序进行身份验证尝试时进行临时锁定。

安全指南在第 2.1.9.5 节“帐户锁定”中向我们解释了如何使用该模块。

请按照以下步骤配置帐户锁定:

要在三次尝试失败后锁定任何非 root 用户并在 10 分钟后解锁该用户,请将以下行添加到/etc/pam.d/system-auth/etc/pam.d/password-auth文件的 auth 部分:

auth        required       pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth        sufficient     pam_unix.so nullok try_first_pass
auth        [default=die]  pam_faillock.so authfail audit deny=3 unlock_time=600

将以下行添加到两个都上一步中指定的文件:

account     required      pam_faillock.so

我特意在这里停下来,因为这将提供大多数人正在寻找的功能。如果您希望包括 root 用户,请继续阅读提供的链接。

相关内容