Início / unix / Perguntas / 432339
Accepted
Archemar
Asked: 2018-03-21 06:34:10 +0800 CST

pam_tally2 adicionar um login extra com falha

  • 772

estou tentando usar pam_tally2no /etc/pam.dgalaxy

Eu mudo o sshd para o seguinte conteúdo

#%PAM-1.0
auth     required       pam_securetty.so
auth     required       pam_tally2.so deny=3 unlock_time=600
auth     required       pam_env.so
auth     required       pam_unix.so
auth     required       pam_nologin.so
account  required       pam_unix.so
password required       pam_unix.so
session  required       pam_limits.so
session  required       pam_unix.so
session  required       pam_lastlog.so nowtmp
session  optional       pam_mail.so standard

Criei uma conta de teste; antes do login, testei a contagem de login com falha:

pam_tally2 -u tst3402
(empty)

agora eu logo usando a senha correta (isso é feito por um expectscript, a senha é como aaa12BBB,)

spawn ssh -l tst3402 172.9.2.1
Password:
No mail.
Last login: Tue Mar 20 14:25:17 2018 from 172.2.2.2
tst3402@hostname:~>

status OK

Onde

  • status OK é enviado porexpect

Eu verifico novamente a contagem de falhas

pam_tally2 -u tst3402
Login           Failures Latest failure     From
tst3402             1    03/20/18 14:25:17  172.2.2.2

Isso implica que, após 3 logins bem-sucedidos, a conta é bloqueada.

Pergunta

por que após um login bem-sucedido, há pam_tally21 falha?

suspeito habitual:

  • Eu sei que posso usar chaves ssh, mas estou sob a maldição do ISAE3420

  • usando ssh -vvv -l ... vejo duas trocas .. devo ver 2 falhas?

    debug3: send packet: type 50
debug3: receive packet: type 51

  • não existe SELinux

  • Não encontrei nenhuma pergunta pam_tally2 em security.SE

security pam

1 respostas

  1. Best Answer

    Problema

    Estou vendo um comportamento semelhante em uma das minhas máquinas: usar sudocom a senha correta gera uma entrada no pam_tally2contador de.

    Contexto

    A pam.d/sudoentrada é a padrão, bem simples:

    session    required   pam_env.so readenv=1 user_readenv=0
session    required   pam_env.so readenv=1 envfile=/etc/default/locale user_readenv=0
@include common-auth
@include common-account
@include common-session-noninteractive

    Em common-auth, adicionei a pam_tally2.solinha no topo, antes da pam_unix.solinha:

    auth    required                    pam_tally2.so onerr=fail audit deny=5 unlock_time=900

# here are the per-package modules (the "Primary" block)
auth    [success=1 default=ignore]  pam_unix.so nullok_secure

# here's the fallback if no module succeeds
auth    requisite           pam_deny.so

# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth    required            pam_permit.so

# and here are more per-package modules (the "Additional" block)
auth    optional            pam_cap.so

    Explicação

    A pam_tally2página do manual afirma (ênfase minha):

    A fase de autenticação primeiro incrementa o contador de tentativa de login e verifica se o acesso do usuário deve ser negado. Se o usuário for autenticado e o processo de login continuar na chamada para pam_setcred(3) , ele zera o contador de tentativas.

    Então, até aqui, acredito que a pilha não chama corretamente pam_setcred. Nenhum arquivo pam.dtem uma chamada para pam_setcred(nem está instalado no meu sistema).

    Solução

    Nos exemplos, a página de manual declara (ênfase minha):

    O módulo não precisa ser chamado na fase de conta porque o login chama pam_setcred(3) corretamente.

    Portanto, se não houver chamada para pam_setcred, o módulo precisará ser chamado na accountfase.

    Eu editei pam.d/common-accounto arquivo e adicionei no topo:

    account required                        pam_tally2.so

    Isso redefinirá o contador quando o usuário conseguir autenticar.

    FAÇAM

    Se um usuário cancelar a autenticação (por exemplo, pressionando Ctrl+C quando a senha for solicitada), isso incrementará o contador sem decrementá-lo, portanto, é indistinguível de uma tentativa malsucedida.

    • 2

relate perguntas