我遵循了以下信息,但奇怪的是,它在服务器上输入登录提示时阻止我输入密码:
要将系统配置为在多次错误登录尝试后锁定帐户,并要求管理员使用 pam_faillock.so 解锁帐户:
在 /etc/pam.d/system-auth 中的 pam_env.so 语句下方立即添加以下几行:
身份验证 [默认=死亡] pam_faillock.so 身份验证失败拒绝=3 解锁时间=604800 失败间隔=900
需要身份验证 pam_faillock.so authsucc 拒绝 = 3 解锁时间 = 604800 失败间隔 = 900
在多次输入错误密码后锁定用户帐户可防止直接的密码猜测攻击。确保管理员参与解锁锁定帐户可引起对此类情况的适当关注。
我应该提到这是启动盘上后记的一部分,但这不应该导致任何错误...有什么想法吗?我使用的确切行是:
sed -i“/pam_fprintd.so/i auth [默认=die] pam_faillock.so authfail 拒绝=3 解锁时间=604800 失败间隔=900\nauth 需要 pam_faillock.so authsucc 拒绝=3 解锁时间=604800 失败间隔=900”/etc/pam.d/system-auth
答案1
RHEL 6 的 DISA STIG 资源不足。请考虑 CIS RHEL 6 安全指南。
这甚至适用于 Winbind Active Directory 帐户和本地根登录。然后输入您的姓名和 STIG ID(如果这有助于您记住将来的更改)。
//# Modified By Jordi Rubalcaba STIG ID: RHEL-06-000357
auth required pam_faillock.so preauth silent deny=3 even_deny_root unlock_time=604800 fail_interval=900
auth [default=die] pam_faillock.so authfail deny=3 even_deny_root unlock_time=604800 fail_interval=900
//# Modified By Jordi Rubalcaba
//# Modified By Jordi Rubalcaba
account required pam_faillock.so
答案2
我认为你需要做的是改变顺序。这[default=die]导致你所有的尝试都算作坏的尝试。我遵循的指南有[default=die]第二个。我可以使用本地帐户登录;我的问题是使用启用了这些行的 Active Directory 帐户登录。我将它们注释掉,一切正常。