Início / unix / Perguntas / 560196
Accepted
Michael A
Asked: 2020-01-04 10:51:29 +0800 CST

Por que este código PAM impede todos os logins em um sistema Debian?

  • 772

Por que adicionar esta linha a /etc/pam.d/common-auth:

auth        required      pam_tally2.so deny=4 unlock_time=1200 even_deny_root

e adicionando esta linha a /etc/pam.d/common-account:

account     required      pam_tally2.so

impedir todos os logins no meu sistema Debian 10? Todos os meus outros pamarquivos de configuração ( login, common-session, e common-passwordestão inalterados em relação aos padrões, mas posso publicá-los também, se necessário).

Eu vi algumas outras perguntas que discutem pam_tally, por exemplo, this one , this one e this one , mas elas não têm respostas específicas pam_tallyou não têm nenhuma resposta.

(Como pano de fundo, estou tentando adaptar este guia atualizado para sistemas Debian)

EDIT: O libpam-modulespacote está instalado.

De common-auth:

auth    [success=1 default=ignore]  pam_unix.so nullok_secure
auth    required      pam_tally2.so deny=4 unlock_time=1200 even_deny_root
auth    requisite     pam_deny.so
auth    required      pam_permit.so

De common-account:

account required      pam_tally2.so
account [success=1 new_authtok_reqd=done default=ignore]    pam_unix.so 
account requisite     pam_deny.so
account required      pam_permit.so
debian pam

1 respostas

  1. Best Answer

    Há duas partes para esta resposta. O primeiro pam_tally2adiciona auth. O segundo adiciona a account. Você precisa de ambas as partes para pam_tally2funcionar corretamente .

    Vejamos o common-auth.

    auth    [success=1 default=ignore]  pam_unix.so nullok_secure
auth    required      pam_tally2.so deny=4 unlock_time=1200 even_deny_root
auth    requisite     pam_deny.so
auth    required      pam_permit.so

    A primeira linha diz: "Tente usar a autenticação UNIX ( /etc/passwd). Se for bem-sucedido, pule uma linha e continue. Caso contrário, vá para a próxima etapa".

    1. Sucesso: pulamos uma linha ( success=1), ou seja pam_tally2, e batemos pam_denyque nega o login
    2. Falha: batemos pam_tally2e então pam_deny, que nega o login

    Parte da solução é colocar pam_tally2a lista no topo da pilha. (Você pode pensar que mudar success=2funcionaria, mas isso pularia pam_tally2para autenticação bem-sucedida, então só poderia ser redefinido de uma falha após o tempo limite expirar.) Aqui está o meu, de um sistema Debian bastante baunilha:

    auth    required                        pam_tally2.so deny=5 unlock_time=1200 even_deny_root
# here are the per-package modules (the "Primary" block)
auth    [success=1 default=ignore]      pam_unix.so nullok_secure
# here's the fallback if no module succeeds
auth    requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth    required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth    optional                        pam_cap.so
# end of pam-auth-update config

    Isso aumenta a contagem, mas você precisa de uma maneira de redefini-la após logins bem-sucedidos sem recorrer ao pam_tally2comando. O que não é particularmente óbvio é que você precisa adicionar pam_tally2.soà accountseção, também como a primeira entrada

    account required                        pam_tally2.so onerr=fail

    Eu testei isso, mas quando você experimentar, certifique-se de ter um shell de root adicional aberto na máquina de destino para que você possa reverter quaisquer alterações na configuração do PAM!

    Você pode ver o que está acontecendo com tail -F /var/log/auth.loge watch pam_tally2 --user {user}.

    Observe que a contagem é incrementada assim que a autenticação é tentada e redefinida somente em caso de sucesso, portanto, o limite de contagem deve ser uma unidade maior que o número de tentativas permitidas.

    • 5

relate perguntas