ユーザーログイン試行の制限(Ubuntu 12.10、pam_tally.so、pam_tally2.so)
まず、私はLinuxの初心者であるため、ご容赦ください。
ログイン試行を制限するためにWebで見つけたアドバイスの多くは、Quantalには関係ありません。すべてがpam_tally.soまたはpam_tally2.soの使用を指定しています。これらは、ユーザー認証の基本的なLinuxメカニズムのようです。残念ながら、さまざまなディストリビューション(RHEL、Ubuntu、Centなど)には構成要件にわずかなバリエーションがあるようです。
12.10では、pam_tally.soを有効にした後、発生した主な問題は、誤った集計の増分に関連しています。
- ログインが失敗するたびに2回増加します
- ユーザーが失敗すると、他のすべてのユーザーをインクリメントします
- ユーザーがアカウントを切り替えると、他のすべてをインクリメントします
この動作の他のバリエーション。ただし、必要に応じて制限を超えるアカウントをロックし、ログインに成功するとカウンターを0にリセットします。
pam_tally2.soは、別のユーザーが失敗したときに他のすべてのユーザーをインクリメントするなど、エラーの一部を排除しますが、失敗するたびにユーザーを2回インクリメントします。
私の/etc/pam.d/common-authは次のようになります。
auth required pam_tally2.so file=/var/log/tallylog deny=3
auth [success=1 default=ignore] pam_unix.so
account required pam_tally2.so
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_cap.so
pam_tally2.soのマンページの指示を複製すると、マシンからロックアウトされ、LiveCDブートからルート経由で変更を取り消す必要があります。
私の質問は:
pam_tally.soはpam_tally2.soを支持して完全に非推奨になりましたか?- 誰もが投稿できる作業共通認証ファイルを持っていますか?これは宣伝どおりに動作しますfor 12.10?他の提案も歓迎します。
- 13.04はログインカウントとロックアウトを管理するためにpam_tallyとは異なるメカニズムを使用しますか?
13.04でログインが正しく制限され、12.10よりも手間がかからない場合は、このマシンにログイン試行の制限が必要な機能であるため、おそらく移行します。 Ubuntuの一部のバージョンでログイン試行を制限できない場合、CentOSなどの別のディストリビューションを使用する必要があります。
これはpam_tallyの「man」ページからのものです。
pam_tallyにはいくつかの制限があり、pam_tally2で解決されます。このため、pam_tallyは非推奨であり、将来のリリースで削除される予定です。
ターミナルに次のコマンドを入力すると、この形式(およびこの形式の他のコマンド)を表示できます。
man pam_tally
キーボードやネットワーク(またはその両方)でロックアウトを実装する予定はありますか?私はあなたの例はありませんが、以下で「求める答えを見つける」ことができます。最初に、ターミナルから次のように入力して、言及したファイルを編集する必要があります。
Sudo gedit /etc/pam.d/common-auth
これをファイルの先頭に追加します(ルールの順序が重要です)。
auth required pam_tally.so per_user magic_root onerr=fail
これにより、許可される試行回数が設定されます
Sudo faillog -m 3
-lオプションはロック時間を設定します。
faillog -m 3 -l 3600
アカウントのロックを解除するには
faillog -u login_name -r
クレジット: http://blog.bodhizazen.com/linux/ubuntu-how-to-faillog/
幸運を祈ります。Ubuntuを使い続けることを賢明に選択してください。