Pam faillock: различия между версиями

Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной.

PAM-модуль^[1], блокирующий возможность аутентификации пользователя (если очень нужно, то даже root'а), на основании заранее определённого количества неудачных попыток входа.

Настройка

Настройка модуля производится через редактирование файла /etc/security/faillock.conf.

Основные опции, используемые в файле:

• deny - количество неудачных попыток входа, после которых возможность аутентификации будет заблокирована (значение по умолчанию: 3);
• unlock_time - интервал времени, в течении которого возможность аутентификации для пользователя, превысившего количество попыток входа, будет заблокирована;
• local_users_only - включение данной опции в файл означает что модуль будет применяться только для локальных пользователей, существующих в файле /etc/passwd (во избежание возможных проблем с централизованными средствами аутентификации: AD,IdM, LDAP, и т.д, у которых могут быть свои методы ограничения доступа к аутентификации).

Не основные опции:

• audit - при включении опции имя пользователя, с которым производилась неудачная попытка входа, будет записано в системный журнал (по умолчанию faillock просто отмечает неудачную попытку входа, без указания имени);
• silent - при включении этой опции greeter не будет уведомлять пользователя о блокировке учётной записи, и интервале времени блокировки;
• even_deny_root - название говорит само за себя. При включении этой опции учётная запись пользователя так же будет блокироваться при определённом количестве неудачных попыток входа;
• root_unlock_time - работает аналогично unlock_time. Как следует из названия, применяется по отношению к пользователю root, используется совместно с even_deny_root.

О других существующих опциях детально можно почитать в man faillock.conf^[2].

Включение модуля в подсистеме PAM

TODO: Описать редактирование файла /etc/pam.d/system-auth-local-only

Примечания