저는 SSH 터널을 통해 VNC를 통해 서버에 연결하는 씬 클라이언트가 있는 다중 사용자 Debian 서버를 설정하는 작업을 하고 있습니다. 설정 자체는 복잡하지 않습니다. 몇 가지 상식적인 보안 모범 사례를 구현하면서 연속 인증 실패 후 자동 계정 잠금을 설정하려고 합니다. PAM의 구성을 변경하는 것은 이번이 처음이므로 PAM 초보자입니다. 이 자동 계정 잠금을 구현하는 가장 좋은 방법을 찾기 위해 지금까지 수행한 연구에 따르면 실제로 이 목적으로 직접 사용되는 두 개의 PAM 모듈인 pam_tally2.so및 가 있는 것으로 보입니다 pam_faillock.so. 우리는 이미 RHEL과 Fedora의 잠금 오류에 대해 어느 정도 알고 있었으며 이것이 우리가 궁극적으로 결정한 경로였습니다. Debian의 PAM 구성은 RHEL/Fedora의 구성과 매우 다르기 때문에 약간의 조사가 필요했지만 결과는 다음과 같습니다.
수정됨/etc/pam.d/common-auth
# Added faillock preauth
auth required pam_faillock.so preauth
# here are the per-package modules (the "Primary" block)
auth [success=1 default=ignore] pam_unix.so nullok
# here's the fallback if no module succeeds
# auth requisite pam_deny.so
# replace the default line commented above, but send the same signal
auth [default=die] pam_faillock.so authfail
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth required pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config
수정됨/etc/pam.d/common-account
# reset the fail record on authentication success
account required pam_faillock.so
# here are the per-package modules (the "Primary" block)
account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so
# here's the fallback if no module succeeds
account requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
account required pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config
지금까지 수행된 예비 테스트에서 이는 예상했던 것과 정확히 일치하는 것으로 보입니다. 우리가 간과하고 있는 잠재적인 "문제점"이 있습니까? 이는 pam_tally2.so데비안의 기본 권장 사항인 것 같습니다. RHEL 및 Fedora 이외의 배포판에 구현된 참조 자료 가 부족하고 pam_faillock.soPAM 구성 경험이 부족하여 이 PAM 스택 구성의 논리를 간과하고 있다는 사실이 약간 불안했습니다.