Pam Tally Linux interdit aux utilisateurs d'utiliser des mots de passe erronés

0

J'ai un problème majeur avec une distribution fedora (17). Je ne sais pas comment configurer /etc/pam.d/system-auth afin d'interdire à un utilisateur qui a mal écrit le mot de passe (3 fois)

J'ai lu de nombreux ajouts différents à ce fichier qui y parviennent (ils sont tous à peu près les mêmes) mais ils ne fonctionnent pas.

Par exemple, j'ai ajouté ces lignes:

auth required pam_tally.so onerr=fail deny=3 unlock_time=40

Mais l'utilisateur aléatoire que j'ai créé peut essayer son mot de passe plusieurs fois sans avertissement, rien.

Comment suis-je supposé résoudre ce problème? Quelqu'un a-t-il une suggestion?

Marcus Roerig
la source
Cela affecte-t-il les utilisateurs root / wheel?
Lorenzo Von Matterhorn
non, personne: S
Marcus Roerig

Réponses:

0

Lorsque PAM verrouille un compte d'utilisateur, il ne fournit aucun message indiquant que le compte est verrouillé, afin de ne fournir aucune information supplémentaire aux attaquants. En tant que tel, vous ne recevrez jamais d'avertissement que votre compte est bloqué.

pour tester vos paramètres, entrez un bon nom d'utilisateur et un mauvais mot de passe 3 fois. puis entrez le nom d'utilisateur et le mot de passe corrects dans les 40 secondes pour lesquelles le verrou est établi. Si vous êtes connecté, les paramètres ont échoué, mais si vous obtenez "Nom d'utilisateur ou mot de passe incorrect" avec les informations d'identification correctes, tout fonctionne correctement.

Assurez-vous également que votre ligne "auth required pam_tally.so ..." précède votre ligne "auth suffisante pam_unix.so ...".

pour plus d'indications, consultez ici: http://www.linuxquestions.org/questions/linux-security-4/pam-pam_tally-and-locking-out-users-after-3-failed-login-attempts-in-rhel5 -624257 /

Frank Thomas
la source
Je suis en train de changer les utilisateurs de GUI, mais toujours le même comportement .... Fedora stupide.
Marcus Roerig