Debian 11 - pam_tally2 => faillock hogyan

Debian GNU/Linux

Sziasztok!

 

Adott egy Debian 11. Be kellene állítani, hogy belépéskor ha a user elgépeli 3szor a jelszavát, akkor lockolja az accountját.

Gondoltam én sebaj, ott a pam_tally2....őőő....volt....(module not found a syslogban...deprecated...stb stb)

Faillockot meg az istenért sem tudom beállítani (my fail, i know...)

Az /etc/security/faillock.conf be van állítva ahogy szeretném, ellenben nem érvényesül.

 

Próbálom az /etc/pam.d/common-{auth, account} ba beírni a faillock-ot, de mindig az a vége hogy be se lehet jelentkezni jó jelszóval sem..se konzolon, se sshn...

(reboot...grub...edit...init=/bin/bash....root@none...mount -o remount, rw /...s faillock törlés az /etc/pam.d/common-*.ból)

Király...Valaki hasonló szívás?

Jól jönne egy működő példa, kezdek kikészülni.

Már lassan kezdem azt hinni hogy totál vak vágányon száguldom.

( snq- | 2021. 09. 30., cs – 22:31 )

>> Jól jönne egy működő példa

arch alatt így néz ki egy default pam.d/system-auth:

auth       required                    pam_faillock.so      preauth
# Optionally use requisite above if you do not want to prompt for the password
# on locked accounts.
auth       [success=2 default=ignore]  pam_unix.so          try_first_pass nullok
-auth      [success=1 default=ignore]  pam_systemd_home.so
auth       [default=die]               pam_faillock.so      authfail
auth       optional                    pam_permit.so
auth       required                    pam_env.so
auth       required                    pam_faillock.so      authsucc
# If you drop the above call to pam_faillock.so the lock will be done also
# on non-consecutive authentication failures.

-account   [success=1 default=ignore]  pam_systemd_home.so
account    required                    pam_unix.so
account    optional                    pam_permit.so
account    required                    pam_time.so

-password  [success=1 default=ignore]  pam_systemd_home.so
password   required                    pam_unix.so          try_first_pass nullok shadow sha512
password   optional                    pam_permit.so

session    required                    pam_limits.so
session    required                    pam_unix.so
session    optional                    pam_permit.so

( brokerka | 2021. 10. 01., p – 08:08 )

Végül így néz ki most, még működik is bár nem tökéletes...nem utasítja el egyből a bejelentkezési kísérletet, hanem kéri a jelszót háromszor is.

Végül bármit megadok, jó vagy rossz jelszót, mindegy, de nem engedi belépni.

faillock --user <neve> --reset után beengedi.

/etc/pam.d/common-auth:

# here are the per-package modules (the "Primary" block)

auth    required            pam_faillock.so    preauth
auth    [success=1 default=ignore]    pam_unix.so nullok
# here's the fallback if no module succeeds
auth    [default=die]            pam_faillock.so authfail
auth    sufficient            pam_faillock.so authsucc
auth    requisite            pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth    required            pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config

( muszi v | 2021. 10. 01., p – 08:32 )

A pam_faillock-ot nem próbáltam, de PAM konfiguráció teszteléshez írtam egy programot, ami nem a normál login konfigot használja, így nyugodtan garázdálkodhatsz, a rendszerbe való bejelentkezést nem tudod elrontani.

Itt írtam róla bővebben: https://hup.hu/comment/2316297#comment-2316297

( Ice | 2022. 02. 07., h – 11:58 )

/usr/sbin/faillock a te barátod Debian 11-en