在 Ubuntu 14 和 16 上尝试失败后 pam_tally2 不会锁定用户

在 Ubuntu 14 和 16 上尝试失败后 pam_tally2 不会锁定用户

我不确定这个问题是出在pam_tally2它本身还是出在 Ubuntu 上,这正是我想找出的。 pam_tally2由于某种原因,在 14 和 16 上出现了问题。我的/etc/pam.d/common-auth文件如下:

auth      required      pam_env.so
auth      required      pam_tally2.so deny=5 unlock_time=900 onerr=fail
auth      [success=1 default=ignore]   pam_unix.so nullok_secure
auth      requisite     pam_deny.so
auth      required      pam_permit.so 
auth      optional      pam_cap.so

前两行是我根据以前的论坛和手册页手动插入的。(为了测试目的,我将 改为 和 改为 ,deny以免=3测试unlock_time时间=20太长)。

  1. 这样做之后,似乎没有任何效果,直到我重新启动机器,这与 pam 不同,pam 通常会立即生效。
  2. 重新启动并故意输入错误密码 3 次后,我成功被锁定 20 秒,但我注意到计数器显示我失败了 4 次,但实际上只有 3 次。另请注意,当输入错误密码时,通常会显示Invalid password, please try again红色文本的消息,而一旦系统被锁定,则会显示消息Account locked due to 4 failed logins, appears in white text
  3. 等了20秒,输入正确的密码后,还是失败了一次,然后失败文本又变成了原来的红色文本,但当我再次正确输入密码后,账户锁定似乎只在系统重启后的第一次登录时起作用。如果我那一次登录正确或故意登录失败,那么之后无论我失败多少次,我都可以登录。

一些论坛和博客说您还需要输入:

account     required     pam_tally2.so

文件中common-account

其他论坛建议将上述行放在文件中,但common-auth同时将所有选项也放在文件中。这两种方法似乎都无法使 pam_tally2 正常工作。

我也尝试过实验性地把

account     required     pam_env.so

作为文件common-account的第一行。这似乎不起作用,也没有改变任何东西。

我尝试过将两个文件中的pam_env.so行放在上方和下方的pam_tally2.so所有可能组合中,但这似乎并不能纠正行为。

如果有人知道为什么pam_tally2.so无法正常工作,或者这是 Ubuntu 的一个错误,请告诉我。感谢您的时间。

答案1

Ubuntu_16.04
您还需要添加account required pam_tally2.so/etc/pam.d/common-account

答案2

我也有过同样的经历。我按照以下方法解决了这个问题。

  1. vim [/etc/pam.d/登录] 而不是 [/etc/pam.d/common-auth]

  2. 添加以下行。 需要身份验证 pam_tally2.so 拒绝 = 4 even_deny_root 解锁时间 = 1200

    • Deny=4(4次登录失败后锁定账户)
    • even_deny_root(Root 账户也将被锁定)
    • unlock_time=1200(20分钟后解锁)
  3. 参考

    • 我的 Ubuntu :Ubuntu 16.04.5 LTS
    • 命令:man pam_tally2

相关内容