[3] Faillock – Blokowanie kont
14 marca 2022Zlicza kolejne niepowodzenia uwierzytelniania i blokuje tych użytkowników, którzy przekroczyli ustalony próg.
[1] Skonfiguruj moduł PAM Faillock.
# potwierdź aktualne ustawienia autentykacji [root@vlsr01 ~]# authselect current Identyfikator profilu: sssd Włączone funkcje: - with-fingerprint - with-silent-lastlog # włącz Faillock [root@vlsr01 ~]# authselect enable-feature with-faillock Make sure that SSSD service is configured and enabled. See SSSD documentation for more information. [root@vlsr01 ~]# authselect current Identyfikator profilu: sssd Włączone funkcje: - with-fingerprint - with-silent-lastlog - with-faillock # pam_faillock jest dodany do system-auth i password-auth [root@vlsr01 ~]# grep -n faillock /etc/pam.d/system-auth 6:auth required pam_faillock.so preauth silent 13:auth required pam_faillock.so authfail 16:account required pam_faillock.so [root@vlsr01 ~]# grep -n faillock /etc/pam.d/password-auth 6:auth required pam_faillock.so preauth silent 12:auth required pam_faillock.so authfail 15:account required pam_faillock.so [root@vlsr01 ~]# mcedit /etc/security/faillock.conf # skonfiguruj ustawienia Faillock # odkomentuj wiersze, które chcesz włączyć, a także zmień parametry, jeśli zajdzie taka potrzeba # linia 10: zaloguj nazwę użytkownika do dziennika systemowego, jeśli użytkownik nie zostanie znaleziony # audit # linia 14: nie drukuj wiadomości informacyjnych # silent # linia 18: nie loguj wiadomości informacyjnych przez syslog # no_log_info # linia 27: śledź tylko nieudane próby uwierzytelnienia użytkowników lokalnych # ignoruj scentralizowanych użytkowników, takich jak AD, Idm, LDAP i inni # local_users_only # linia 32: odmów dostępu, jeśli liczba kolejnych niepowodzeń uwierzytelnienia przekroczy # deny = 3 # linia 38: długość interwału, w którym muszą wystąpić kolejne błędy uwierzytelniania dla konta użytkownika # fail_interval = 900 # linia 45: dostęp zostanie ponownie włączony po N sekundach po zablokowaniu # nigdy nie włącza się automatycznie, jeśli jest ustawione [unlock_time = 0] # unlock_time = 600 # linia 48: konto roota może zostać zablokowane tak samo jak zwykłe konta # even_deny_root # linia 54: dostęp do roota zostanie ponownie włączony po N sekundach od blokady, jeśli jest włączony [even_deny_root] # root_unlock_time = 900 # linia 61: członkowie grupy będą traktowani tak samo jak [even_deny_root] + [root_unlock_time = N] # admin_group = <admin_group_name>
[2] Wyświetlaj liczbę nieudanych logowań kont użytkowników lub ręcznie odblokuj zablokowane konto, tak jak poniżej.
# pokaż liczbę nieudanych logowań dla użytkownika [root@vlsr01 ~]# faillock --user user01 user01: When Type Source Valid 2022-03-13 18:22:11 RHOST 192.168.100.155 V 2022-03-13 18:22:15 RHOST 192.168.100.155 V 2022-03-13 18:22:20 RHOST 192.168.100.155 V # odblokuj zablokowanego użytkownika ręcznie [root@vlsr01 ~]# faillock --user user01 --reset [root@vlsr01 ~]# faillock --user user01 user01: When Type Source Valid