[3] Faillock – Blokowanie kont

14 marca 2022 Wyłączono przez Adam [zicherka] Nogły

Zlicza kolejne niepowodzenia uwierzytelniania i blokuje tych użytkowników, którzy przekroczyli ustalony próg.

[1] Skonfiguruj moduł PAM Faillock.

# potwierdź aktualne ustawienia autentykacji
[root@vlsr01 ~]# authselect current
Identyfikator profilu: sssd
Włączone funkcje:
- with-fingerprint
- with-silent-lastlog

# włącz Faillock
[root@vlsr01 ~]# authselect enable-feature with-faillock
Make sure that SSSD service is configured and enabled. See SSSD documentation for more information.
[root@vlsr01 ~]# authselect current
Identyfikator profilu: sssd
Włączone funkcje:
- with-fingerprint
- with-silent-lastlog
- with-faillock

# pam_faillock jest dodany do system-auth i password-auth
[root@vlsr01 ~]# grep -n faillock /etc/pam.d/system-auth
6:auth        required                                     pam_faillock.so preauth silent
13:auth        required                                     pam_faillock.so authfail
16:account     required                                     pam_faillock.so

[root@vlsr01 ~]# grep -n faillock /etc/pam.d/password-auth
6:auth        required                                     pam_faillock.so preauth silent
12:auth        required                                     pam_faillock.so authfail
15:account     required                                     pam_faillock.so

[root@vlsr01 ~]# mcedit /etc/security/faillock.conf
# skonfiguruj ustawienia Faillock
# odkomentuj wiersze, które chcesz włączyć, a także zmień parametry, jeśli zajdzie taka potrzeba
# linia 10: zaloguj nazwę użytkownika do dziennika systemowego, jeśli użytkownik nie zostanie znaleziony
# audit
# linia 14: nie drukuj wiadomości informacyjnych
# silent
# linia 18: nie loguj wiadomości informacyjnych przez syslog
# no_log_info
# linia 27: śledź tylko nieudane próby uwierzytelnienia użytkowników lokalnych
# ignoruj scentralizowanych użytkowników, takich jak AD, Idm, LDAP i inni
# local_users_only
# linia 32: odmów dostępu, jeśli liczba kolejnych niepowodzeń uwierzytelnienia przekroczy
# deny = 3
# linia 38: długość interwału, w którym muszą wystąpić kolejne błędy uwierzytelniania dla konta użytkownika
# fail_interval = 900
# linia 45: dostęp zostanie ponownie włączony po N sekundach po zablokowaniu
# nigdy nie włącza się automatycznie, jeśli jest ustawione [unlock_time = 0]
# unlock_time = 600
# linia 48: konto roota może zostać zablokowane tak samo jak zwykłe konta
# even_deny_root
# linia 54: dostęp do roota zostanie ponownie włączony po N sekundach od blokady, jeśli jest włączony [even_deny_root]
# root_unlock_time = 900
# linia 61: członkowie grupy będą traktowani tak samo jak [even_deny_root] + [root_unlock_time = N]
# admin_group = <admin_group_name>

[2] Wyświetlaj liczbę nieudanych logowań kont użytkowników lub ręcznie odblokuj zablokowane konto, tak jak poniżej.

# pokaż liczbę nieudanych logowań dla użytkownika
[root@vlsr01 ~]# faillock --user user01
user01:
When                Type  Source                                           Valid
2022-03-13 18:22:11 RHOST 192.168.100.155                                      V
2022-03-13 18:22:15 RHOST 192.168.100.155                                      V
2022-03-13 18:22:20 RHOST 192.168.100.155                                      V

# odblokuj zablokowanego użytkownika ręcznie
[root@vlsr01 ~]# faillock --user user01 --reset
[root@vlsr01 ~]# faillock --user user01
user01:
When                Type  Source                                           Valid