Pam faillock: различия между версиями

Материал из ALT Linux Wiki
(Завершил описание основных возможностей конфигурационного файла fallock.conf)
Строка 16: Строка 16:


Не основные опции:
Не основные опции:
* audit - имя пользователя, с которым производилась неудачная попытка входа, будет записано в системный журнал (по умолчанию faillock просто отмечает неудачную попытку входа, без указания имени);
* audit - при включении опции имя пользователя, с которым производилась неудачная попытка входа, будет записано в системный журнал (по умолчанию faillock просто отмечает неудачную попытку входа, без указания имени);
* silent - при включении этой опции greeter не будет уведомлять пользователя о блокировке учётной записи, и интервале времени блокировки;
* silent - при включении этой опции greeter не будет уведомлять пользователя о блокировке учётной записи, и интервале времени блокировки;
* even_deny_root - название говорит само за себя. При включении этой опции учётная запись пользователя так же будет блокироваться при определённом количестве неудачных попыток входа;
* even_deny_root - название говорит само за себя. При включении этой опции учётная запись пользователя так же будет блокироваться при определённом количестве неудачных попыток входа;
* root_unlock_time - работает аналогично unlock_time. Как следует из названия, применяется по отношению к пользователю root.
* root_unlock_time - работает аналогично unlock_time. Как следует из названия, применяется по отношению к пользователю root, используется совместно с even_deny_root.


О других существующих опциях детально можно почитать в man faillock.conf<ref name="man faillock.conf" />.
О других существующих опциях детально можно почитать в man faillock.conf<ref name="man faillock.conf" />.

Версия от 22:55, 31 мая 2022

Stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.



PAM-модуль[1], блокирующий возможность аутентификации пользователя (если очень нужно, то даже root'а), на основании заранее определённого количества неудачных попыток входа.

Настройка

Настройка модуля производится через редактирование файла /etc/security/faillock.conf.

Основные опции, используемые в файле:

  • deny - количество неудачных попыток входа, после которых возможность аутентификации будет заблокирована (значение по умолчанию: 3);
  • unlock_time - интервал времени, в течении которого возможность аутентификации для пользователя, превысившего количество попыток входа, будет заблокирована;
  • local_users_only - включение данной опции в файл означает что модуль будет применяться только для локальных пользователей, существующих в файле /etc/passwd (во избежание возможных проблем с централизованными средствами аутентификации: AD,IdM, LDAP, и т.д, у которых могут быть свои методы ограничения доступа к аутентификации).

Не основные опции:

  • audit - при включении опции имя пользователя, с которым производилась неудачная попытка входа, будет записано в системный журнал (по умолчанию faillock просто отмечает неудачную попытку входа, без указания имени);
  • silent - при включении этой опции greeter не будет уведомлять пользователя о блокировке учётной записи, и интервале времени блокировки;
  • even_deny_root - название говорит само за себя. При включении этой опции учётная запись пользователя так же будет блокироваться при определённом количестве неудачных попыток входа;
  • root_unlock_time - работает аналогично unlock_time. Как следует из названия, применяется по отношению к пользователю root, используется совместно с even_deny_root.

О других существующих опциях детально можно почитать в man faillock.conf[2].

Включение модуля в подсистеме PAM

TODO: Описать редактирование файла /etc/pam.d/system-auth-local-only

Примечания