Pam faillock: различия между версиями

Материал из ALT Linux Wiki
(Создание страницы, посвященной настройке модуля pam_faillock)
 
(Завершил описание основных возможностей конфигурационного файла fallock.conf)
Строка 8: Строка 8:


=== Настройка ===
=== Настройка ===
Настройка модуля производится через редактирование файла /etc/security/failock<ref name="man faillock.conf" />.
Настройка модуля производится через редактирование файла /etc/security/faillock.conf.


Основные опции, используемые в файле:
Основные опции, используемые в файле:
* deny - количество неудачных попыток входа, после которых возможность аутентификации будет заблокирована (значение по умолчанию 3);
* deny - количество неудачных попыток входа, после которых возможность аутентификации будет заблокирована (значение по умолчанию: 3);
* unlock_time - интервал времени, по истечении которого возможность аутентификации, заблокированная в результате неудачных попыток входа, будет разблокирована
* unlock_time - интервал времени, в течении которого возможность аутентификации для пользователя, превысившего количество попыток входа, будет заблокирована;
* local_users_only - включение данной опции в файл означает что модуль будет применяться только для локальных пользователей, существующих в файле /etc/passwd (во избежание возможных проблем с централизованными средствами аутентификации: AD,IdM, LDAP, и т.д, у которых могут быть свои методы ограничения доступа к аутентификации).


Не основные опции:
Не основные опции:
* local_users_only - модуль применяется только для локальных пользователей, существующих в файле /etc/passwd (во избежание возможных проблем с централизованными средствами аутентификации: AD,IdM, LDAP, и т.д)
* audit - имя пользователя, с которым производилась неудачная попытка входа, будет записано в системный журнал (по умолчанию faillock просто отмечает неудачную попытку входа, без указания имени);
* audit
* silent - при включении этой опции greeter не будет уведомлять пользователя о блокировке учётной записи, и интервале времени блокировки;
* silent
* even_deny_root - название говорит само за себя. При включении этой опции учётная запись пользователя так же будет блокироваться при определённом количестве неудачных попыток входа;
* even_deny_root
* root_unlock_time - работает аналогично unlock_time. Как следует из названия, применяется по отношению к пользователю root.
* root_unlock_time
 
О других существующих опциях детально можно почитать в man faillock.conf<ref name="man faillock.conf" />.
 
=== Включение модуля в подсистеме PAM ===
TODO: Описать редактирование файла /etc/pam.d/system-auth-local-only


=== Примечания ===
=== Примечания ===

Версия от 22:53, 31 мая 2022

Stub.png
Данная страница находится в разработке.
Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.



PAM-модуль[1], блокирующий возможность аутентификации пользователя (если очень нужно, то даже root'а), на основании заранее определённого количества неудачных попыток входа.

Настройка

Настройка модуля производится через редактирование файла /etc/security/faillock.conf.

Основные опции, используемые в файле:

  • deny - количество неудачных попыток входа, после которых возможность аутентификации будет заблокирована (значение по умолчанию: 3);
  • unlock_time - интервал времени, в течении которого возможность аутентификации для пользователя, превысившего количество попыток входа, будет заблокирована;
  • local_users_only - включение данной опции в файл означает что модуль будет применяться только для локальных пользователей, существующих в файле /etc/passwd (во избежание возможных проблем с централизованными средствами аутентификации: AD,IdM, LDAP, и т.д, у которых могут быть свои методы ограничения доступа к аутентификации).

Не основные опции:

  • audit - имя пользователя, с которым производилась неудачная попытка входа, будет записано в системный журнал (по умолчанию faillock просто отмечает неудачную попытку входа, без указания имени);
  • silent - при включении этой опции greeter не будет уведомлять пользователя о блокировке учётной записи, и интервале времени блокировки;
  • even_deny_root - название говорит само за себя. При включении этой опции учётная запись пользователя так же будет блокироваться при определённом количестве неудачных попыток входа;
  • root_unlock_time - работает аналогично unlock_time. Как следует из названия, применяется по отношению к пользователю root.

О других существующих опциях детально можно почитать в man faillock.conf[2].

Включение модуля в подсистеме PAM

TODO: Описать редактирование файла /etc/pam.d/system-auth-local-only

Примечания