لقد اتبعت المعلومات أدناه ، ومع ذلك ، فمن الغريب أنها تمنعني من إدخال كلمة مرور عند إدخال مطالبة تسجيل الدخول على الخادم:

لتكوين النظام لإغلاق الحسابات بعد عدد من محاولات تسجيل الدخول غير الصحيحة ومطالبة المسؤول بإلغاء قفل الحساب باستخدام pam_faillock.so:

أضف الأسطر التالية مباشرةً أسفل العبارة pam_env.so في /etc/pam.d/system-auth:

auth [default=die] pam_faillock.so authfail deny=3 unlock_time=604800 fail_interval=900

auth required pam_faillock.so authsucc deny=3 unlock_time=604800 fail_interval=900

يؤدي قفل حسابات المستخدمين بعد عدد من المحاولات غير الصحيحة إلى منع هجمات التخمين المباشر لكلمة المرور. إن ضمان مشاركة المسؤول في فتح الحسابات المقفلة يلفت الانتباه المناسب إلى مثل هذه المواقف.

يجب أن أذكر أن هذا جزء من نص منشور على قرص kickstart ، لكن لا ينبغي أن يتسبب ذلك في أي أخطاء ... أية أفكار؟ السطر الدقيق الذي أستخدمه هو:

sed -i "/pam_fprintd.so/ i auth [default=die] pam_faillock.so authfail deny=3 unlock_time=604800 fail_interval=900\nauth required pam_faillock.so authsucc deny=3 unlock_time=604800 fail_interval=900" /etc/pam.d/system-auth

answer

إن DISA STIGs لـ RHEL 6 هي مورد ضعيف. بدلاً من ذلك ، ضع في اعتبارك دليل أمان CIS RHEL 6.

سيعمل هذا أيضًا مع حسابات Winbind Active Directory وتسجيل الدخول إلى الجذر المحلي. ثم ضع اسمك ومعرف STIG إذا كان ذلك يساعدك على تذكر التغييرات المستقبلية.

//# Modified By Jordi Rubalcaba STIG ID:    RHEL-06-000357
auth    required      pam_faillock.so preauth silent deny=3 even_deny_root unlock_time=604800 fail_interval=900
auth    [default=die] pam_faillock.so authfail deny=3 even_deny_root unlock_time=604800 fail_interval=900
//# Modified By Jordi Rubalcaba

//# Modified By Jordi Rubalcaba
account      required pam_faillock.so

أعتقد أن ما عليك فعله هو قلب الترتيب. و [default=die]تسبب كل هذه المحاولات لاعتباره سيئة المحاولات. الدليل الذي أتبعه يحتوي على [default=die]الثاني. يمكنني تسجيل الدخول بحسابات محلية ؛ مشكلتي هي تسجيل الدخول بحسابات Active Directory مع تمكين هذه الخطوط. أعلق عليهم وكل شيء يعمل بشكل جيد.