Limiter les tentatives de connexion des utilisateurs (Ubuntu 12.10, pam_tally.so, pam_tally2.so)

8

Tout d'abord, je suis un débutant Linux, alors soyez indulgent avec moi.

La plupart des conseils que j'ai trouvés sur le Web pour limiter les tentatives de connexion ne concernent pas Quantal. Tout cela spécifie l'utilisation de pam_tally.soou pam_tally2.so, qui semblent être les mécanismes fondamentaux de Linux pour l'authentification des utilisateurs. Malheureusement, il apparaît également que diverses distributions (RHEL, Ubuntu, Cent, etc.) présentent de légères variations pour les exigences de configuration.

Dans 12.10, après l'activation pam_tally.so, les principaux problèmes que j'ai rencontrés sont liés à une incrémentation incorrecte du décompte:

  • incrémente 2 fois pour chaque échec de connexion
  • incrémente tous les autres utilisateurs lorsqu'un utilisateur échoue
  • incrémente tous les autres lorsqu'un utilisateur change de compte

Et d'autres variantes de ce comportement. Cependant, il verrouille les comptes qui dépassent la limite, comme requis, et réinitialise le compteur à 0 après une connexion réussie.

pam_tally2.so élimine certaines des erreurs, telles que l'incrémentation de tous les autres utilisateurs lorsqu'un utilisateur différent échoue, mais incrémente toujours l'utilisateur 2 fois pour chaque échec.

Voici à quoi /etc/pam.d/common-authressemble mon apparence:

auth    required                    pam_tally2.so  file=/var/log/tallylog deny=3
auth    [success=1 default=ignore]  pam_unix.so
account required            pam_tally2.so
auth    requisite           pam_deny.so
auth    required            pam_permit.so
auth    optional            pam_cap.so

Si je reproduis les instructions des pages de manuel pour pam_tally2.so, je suis verrouillé hors de la machine et je dois annuler les modifications via root à partir d'un démarrage LiveCD.

Mes questions sont:

  1. Est pam_tally.somaintenant totalement déconseillé en faveur de pam_tally2.so?
  2. Quelqu'un a-t-il un fichier d'authentification commun fonctionnel qu'il peut publier, qui fonctionne exactement comme annoncé, pour 12.10 ? Toute autre suggestion est également la bienvenue.
  3. 13.04 utilise-t-il un mécanisme différent de pam_tally pour gérer le nombre de connexions et les verrouillages?

Si 13.04 limite correctement les connexions, avec moins de tracas que 12.10, je migrerais probablement vers lui car la limitation des tentatives de connexion est une fonctionnalité nécessaire pour cette machine. Si les tentatives de connexion ne peuvent pas être limitées dans une version d'Ubuntu, je devrai probablement utiliser une autre distribution, comme CentOS.

12.10  login 
ubuntuFTW
source

Réponses:

5

Ceci provient de la page "man" de pam_tally.

pam_tally a plusieurs limitations, qui sont résolues avec pam_tally2. Pour cette raison, pam_tally est obsolète et sera supprimé dans une prochaine version.

Vous pouvez le voir (et toute autre commande dans ce format) en entrant les informations suivantes dans Terminal:

man pam_tally

Avez-vous l'intention de mettre en œuvre des verrouillages au clavier et / ou sur le réseau (ssh)? Je n'ai pas d'exemple pour vous mais ci-dessous vous pouvez «trouver les réponses que vous cherchez». Vous devez d'abord modifier le fichier que vous avez mentionné en le saisissant depuis le terminal:

sudo gedit /etc/pam.d/common-auth

Ajoutez ceci en haut du fichier (l'ordre des règles compte):

auth required pam_tally.so per_user magic_root onerr=fail

Cela définit le nombre de tentatives autorisées

sudo faillog -m 3

L'option -l définit le temps de verrouillage.

faillog -m 3 -l 3600

Pour déverrouiller un compte

faillog -u login_name -r

Crédits: http://blog.bodhizazen.com/linux/ubuntu-how-to-faillog/

Bonne chance et j'espère que vous ferez le bon choix de rester avec Ubuntu.

conman253
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.