Как я могу установить предел для попыток неправильного пароля для экрана блокировки GDM, прежде чем меры будут приняты?
Я в настоящее время выполняю Ubuntu GNOME 15.10 с GNOME 3.18, хотя я привык для (долго назад) запущенный Windows 7, и хотя Ubuntu лучше большинством способов, существует все еще недостаток функции или по крайней мере функция, которую я еще не нашел...
Есть ли какой-либо способ сделать его так, чтобы на блокировал/входил экран после определенного числа (определенный мной) попыток неправильного пароля, это не позволяет пользователю вводить их пароль для определенного количества времени (определенный мной) и также регистрирует это к журналу?
Так, например, если пользователь вводит неправильный пароль 3 времена, им не позволяют попробовать еще раз в течение еще 5 минут, и это также зарегистрировано к журналу, определенному мной.
Также было бы полезно, если я мог бы также дополнительно сделать его так, чтобы сказали, что пользователь пытается ввести их пароль и получает его неправильно 2 раза, если они в течение следующих 5 минут попробовали еще раз, это блокирует их в течение 5 минут, однако если они попробовали еще раз после того, как 5 минут прошли, счетчик попыток неправильного пароля сбрасывается назад к 0.
Уже есть ли такая функция? Или возможно способ ручной реализации его со сценарием или чем-то?
1 ответ
Некоторая вводная информация:
Пользовательские логины обрабатываются PAM система (Сменный Модуль аутентификации) и в данном случае pam_tally подсистема (для соответствия учетным записям пользователей).
Как pam_tally самостоятельно будет удерживаться от использования, необходимо использовать pam_tally2, который прибывает в две части:
pam_tally2.soбудучи модулем, который делает саму аутентификацию и который необходимо добавить кPAMсистемаpam_tally2будучи автономной программой, которую необходимо будет отобразить, измените и очистите отдельные количества
Параметры pam_tally2 Вы интересуетесь:
deny=n
Deny access if tally for this user exceeds n.
lock_time=n
Always deny for n seconds after failed attempt.
unlock_time=n
Allow access after n seconds after failed attempt. If this
option is used the user will be locked out for the specified
amount of time after he exceeded his maximum allowed attempts.
Otherwise the account is locked until the lock is removed by a
manual intervention of the system administrator.
magic_root
If the module is invoked by a user with uid=0 the counter is
not incremented.
even_deny_root
Root account can become unavailable.
Конфигурация:
Добавьте следующие строки к /etc/pam.d/login заблокировать учетную запись после 3 неудавшихся логинов (также для root учетная запись), и имеют разблокированный автоматически после 50 минут.
auth required pam_securetty.so
auth required pam_tally2.so deny=3 even_deny_root lock_time=60 unlock_time=3000
auth required pam_env.so
auth required pam_unix.so
auth required pam_nologin.so
account required pam_unix.so
password required pam_unix.so
session required pam_limits.so
session required pam_unix.so
session required pam_lastlog.so nowtmp
session optional pam_mail.so standard
После добавления вышеупомянутого congiguration, протестируйте его и выйдите из системы и действительно попытайтесь зарегистрироваться в 3 раза с поддельным паролем: 60 секунд для ожидания после первой и второй попытки и спустя 50 минут после третьей попытки.