首先,我是一个 Linux 新手,所以请多包涵。
我在网上找到的许多限制登录尝试的建议都不适用于 Quantal。所有这些建议都指定使用pam_tally.so
或pam_tally2.so
,这似乎是 Linux 进行用户身份验证的基本机制。不幸的是,各种发行版(RHEL、Ubuntu、Cent 等)的配置要求似乎也略有不同。
在 12.10 中,启用后pam_tally.so
,我遇到的主要问题与不正确的计数递增有关:
- 每次登录失败时增加 2 次
- 当用户失败时增加所有其他用户
- 当用户切换账户时增加所有其他
以及此行为的其他变体。但是,它会根据需要锁定超出限制的帐户,并在成功登录后将计数器重置为 0。
pam_tally2.so
消除了一些错误,例如,当另一个用户失败时增加所有其他用户,但每次失败时仍会增加 2 次用户。
以下是我的/etc/pam.d/common-auth
样子:
auth required pam_tally2.so file=/var/log/tallylog deny=3
auth [success=1 default=ignore] pam_unix.so
account required pam_tally2.so
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_cap.so
如果我重复手册页上的说明pam_tally2.so
,我就会被锁定在机器之外,并且必须通过 LiveCD 启动中的 root 身份撤消更改。
我的问题是:
- 现在已
pam_tally.so
完全弃用并支持pam_tally2.so
? - 是否有人可以发布一个可用的通用身份验证文件,其工作原理与广告宣传的完全一致,12.10 版本? 也欢迎任何其他建议。
- 13.04 是否使用与 pam_tally 不同的机制来管理登录计数和锁定?
如果 13.04 确实能正确限制登录次数,而且麻烦程度比 12.10 低,我可能会迁移到 13.04,因为限制登录尝试次数是这台机器的必要功能。如果某些版本的 Ubuntu 无法限制登录尝试次数,我可能会使用其他发行版,例如 CentOS。
答案1
这是来自 pam_tally“man”页面的。
pam_tally 有几个限制,pam_tally2 解决了这些限制。因此 pam_tally 已弃用并将在将来的版本中删除。
您可以通过在终端中输入以下内容来查看它(以及此格式的任何其他命令):
man pam_tally
您是否打算在键盘和/或网络(ssh)上实现锁定? 我没有给你一个例子,但你可以在下面“找到你寻求的答案”。首先,你需要通过在终端输入以下内容来编辑你提到的文件:
sudo gedit /etc/pam.d/common-auth
在文件顶部添加如下内容(规则的顺序很重要):
auth required pam_tally.so per_user magic_root onerr=fail
这将设置允许尝试的次数
sudo faillog -m 3
-l 选项设置锁定时间。
faillog -m 3 -l 3600
解锁帐户
faillog -u login_name -r
致谢:http://blog.bodhizazen.com/linux/ubuntu-how-to-faillog/
祝你好运,我希望你做出明智的选择,继续使用 Ubuntu。