pam_faillock
PAM-модуль[1], блокирующий возможность аутентификации пользователя (если очень нужно, то даже root'а), на основании заранее определённого количества неудачных попыток входа.
Настройка
Настройка модуля производится через редактирование файла /etc/security/faillock.conf.
Основные опции, используемые в файле:
- deny - количество неудачных попыток входа, после которых возможность аутентификации будет заблокирована (значение по умолчанию: 3);
- unlock_time - интервал времени, в течении которого возможность аутентификации для пользователя, превысившего количество попыток входа, будет заблокирована;
- local_users_only - включение данной опции в файл означает что модуль будет применяться только для локальных пользователей, существующих в файле /etc/passwd (во избежание возможных проблем с централизованными средствами аутентификации: AD,IdM, LDAP, и т.д, у которых могут быть свои методы ограничения доступа к аутентификации).
Не основные опции:
- audit - при включении опции имя пользователя, с которым производилась неудачная попытка входа, будет записано в системный журнал (по умолчанию faillock просто отмечает неудачную попытку входа, без указания имени);
- silent - при включении этой опции greeter не будет уведомлять пользователя о блокировке учётной записи, и интервале времени блокировки;
- even_deny_root - название говорит само за себя. При включении этой опции учётная запись пользователя так же будет блокироваться при определённом количестве неудачных попыток входа;
- root_unlock_time - работает аналогично unlock_time. Как следует из названия, применяется по отношению к пользователю root, используется совместно с even_deny_root.
О других существующих опциях детально можно почитать в man faillock.conf[2].
Включение модуля в подсистеме PAM
TODO: Описать редактирование файла /etc/pam.d/system-auth-local-only