secpol.msc의 계정 잠금 정책을 통해 Windows에서와 같이 X가 X초 동안 시도에 실패한 후 잠금 화면에서 사용자 로그인을 거부하려고 합니다. 우리는 RHEL 8.2를 사용하고 있습니다.
추가해 보았습니다
auth required pam_faillock.so preauth silent audit deny=3 even_deny_root unlock_time=300
auth [default=die] pam_faillock.so authfail audit deny=3 even_deny_root unlock_time=300
그리고
account required pam_faillock.so
/etc/pam.d/system-auth둘 다 의 합 /etc/pam.d/password-auth
그러나 이것은 효과가 없습니다. 시도가 기록되고 잘못된 잠금을 통해 이를 볼 수 있지만 로그인은 어떤 식으로든 차단되지 않습니다. Linux에서 이를 달성하는 쉬운 방법이 있습니까? 제 생각에는 이는 잠겨 있지만 전원이 켜져 있는 암호화된 컴퓨터를 보호하는 데 필요합니다.
감사해요!
답변1
행의 순서가 중요합니다. /etc/pam.d/system-auth합계 결과는 /etc/pam.d/password-auth다음과 같습니다.
auth required pam_env.so
auth required pam_faillock.so preauth silent audit deny=3 unlock_time=300
auth sufficient pam_fprintd.so
auth sufficient pam_unix.so nullok try_first_pass
auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=300
auth requisite pam_succeed_if.so uid >= 1000 quiet
auth required pam_deny.so