Sziasztok!
Adott egy Debian 11. Be kellene állítani, hogy belépéskor ha a user elgépeli 3szor a jelszavát, akkor lockolja az accountját.
Gondoltam én sebaj, ott a pam_tally2....őőő....volt....(module not found a syslogban...deprecated...stb stb)
Faillockot meg az istenért sem tudom beállítani (my fail, i know...)
Az /etc/security/faillock.conf be van állítva ahogy szeretném, ellenben nem érvényesül.
Próbálom az /etc/pam.d/common-{auth, account} ba beírni a faillock-ot, de mindig az a vége hogy be se lehet jelentkezni jó jelszóval sem..se konzolon, se sshn...
(reboot...grub...edit...init=/bin/bash....root@none...mount -o remount, rw /...s faillock törlés az /etc/pam.d/common-*.ból)
Király...Valaki hasonló szívás?
Jól jönne egy működő példa, kezdek kikészülni.
Már lassan kezdem azt hinni hogy totál vak vágányon száguldom.
Hozzászólások
>> Jól jönne egy működő példa
arch alatt így néz ki egy default pam.d/system-auth:
Végül így néz ki most, még működik is bár nem tökéletes...nem utasítja el egyből a bejelentkezési kísérletet, hanem kéri a jelszót háromszor is.
Végül bármit megadok, jó vagy rossz jelszót, mindegy, de nem engedi belépni.
faillock --user <neve> --reset után beengedi.
/etc/pam.d/common-auth:
# here are the per-package modules (the "Primary" block)
auth required pam_faillock.so preauth
auth [success=1 default=ignore] pam_unix.so nullok
# here's the fallback if no module succeeds
auth [default=die] pam_faillock.so authfail
auth sufficient pam_faillock.so authsucc
auth requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth required pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config
A pam_faillock-ot nem próbáltam, de PAM konfiguráció teszteléshez írtam egy programot, ami nem a normál login konfigot használja, így nyugodtan garázdálkodhatsz, a rendszerbe való bejelentkezést nem tudod elrontani.
Itt írtam róla bővebben: https://hup.hu/comment/2316297#comment-2316297
/usr/sbin/faillock a te barátod Debian 11-en