Pam faillock: различия между версиями
Bne (обсуждение | вклад) (Завершил описание основных возможностей конфигурационного файла fallock.conf) |
Bne (обсуждение | вклад) |
||
| Строка 16: | Строка 16: | ||
Не основные опции: | Не основные опции: | ||
* audit - имя пользователя, с которым производилась неудачная попытка входа, будет записано в системный журнал (по умолчанию faillock просто отмечает неудачную попытку входа, без указания имени); | * audit - при включении опции имя пользователя, с которым производилась неудачная попытка входа, будет записано в системный журнал (по умолчанию faillock просто отмечает неудачную попытку входа, без указания имени); | ||
* silent - при включении этой опции greeter не будет уведомлять пользователя о блокировке учётной записи, и интервале времени блокировки; | * silent - при включении этой опции greeter не будет уведомлять пользователя о блокировке учётной записи, и интервале времени блокировки; | ||
* even_deny_root - название говорит само за себя. При включении этой опции учётная запись пользователя так же будет блокироваться при определённом количестве неудачных попыток входа; | * even_deny_root - название говорит само за себя. При включении этой опции учётная запись пользователя так же будет блокироваться при определённом количестве неудачных попыток входа; | ||
* root_unlock_time - работает аналогично unlock_time. Как следует из названия, применяется по отношению к пользователю root. | * root_unlock_time - работает аналогично unlock_time. Как следует из названия, применяется по отношению к пользователю root, используется совместно с even_deny_root. | ||
О других существующих опциях детально можно почитать в man faillock.conf<ref name="man faillock.conf" />. | О других существующих опциях детально можно почитать в man faillock.conf<ref name="man faillock.conf" />. | ||
Версия от 19:55, 31 мая 2022
PAM-модуль[1], блокирующий возможность аутентификации пользователя (если очень нужно, то даже root'а), на основании заранее определённого количества неудачных попыток входа.
Настройка
Настройка модуля производится через редактирование файла /etc/security/faillock.conf.
Основные опции, используемые в файле:
- deny - количество неудачных попыток входа, после которых возможность аутентификации будет заблокирована (значение по умолчанию: 3);
- unlock_time - интервал времени, в течении которого возможность аутентификации для пользователя, превысившего количество попыток входа, будет заблокирована;
- local_users_only - включение данной опции в файл означает что модуль будет применяться только для локальных пользователей, существующих в файле /etc/passwd (во избежание возможных проблем с централизованными средствами аутентификации: AD,IdM, LDAP, и т.д, у которых могут быть свои методы ограничения доступа к аутентификации).
Не основные опции:
- audit - при включении опции имя пользователя, с которым производилась неудачная попытка входа, будет записано в системный журнал (по умолчанию faillock просто отмечает неудачную попытку входа, без указания имени);
- silent - при включении этой опции greeter не будет уведомлять пользователя о блокировке учётной записи, и интервале времени блокировки;
- even_deny_root - название говорит само за себя. При включении этой опции учётная запись пользователя так же будет блокироваться при определённом количестве неудачных попыток входа;
- root_unlock_time - работает аналогично unlock_time. Как следует из названия, применяется по отношению к пользователю root, используется совместно с even_deny_root.
О других существующих опциях детально можно почитать в man faillock.conf[2].
Включение модуля в подсистеме PAM
TODO: Описать редактирование файла /etc/pam.d/system-auth-local-only