저는 여러 대의 PC에서 데비안 버스터를 실행하고 있습니다. 저는 이 pam_tally2모듈을 사용하여 시스템에 보안을 추가했습니다. ssh데스크톱 로그인에서 테스트했는데 완벽하게 작동했습니다 .
따라서 추가 보안 계층을 위해 모든 PC가 PAM으로 보호되면사용자 비밀번호를 변경했습니다.
그 후 시스템을 재부팅할 때까지 모든 것이 정상이었습니다. 시스템을 재부팅하거나 로그아웃하고 로그인할 때마다 로그인을 시도하기 전에 5번 또는 10번 또는 원하는 횟수만큼 실패합니다. 이로 인해 시스템에서 로그아웃되었으며 root다른 계정(또는)을 사용하여 시스템에 들어가서 /etc/pam.d/common-auth로그인 편집을 통해서만 문제를 해결할 수 있었습니다.
임시방편으로 매번 로그인이 가능하도록 시도 횟수를 20번으로 늘렸습니다.
그러나 내가 뭔가 잘못하고 있거나 이것은 모듈의 버그입니다.
내 입장에서는 common-auth이 줄을 추가하여 파일 만 편집했습니다.
auth required pam_tally2.so onerr=fail deny=3 unlock_time=600 audit
메인 블록에서 다음 auth목록을 생성합니다.
auth required pam_tally2.so onerr=fail deny=5 unlock_time=1200
auth [success=1 default=ignore] pam_unix.so nullok_secure
auth requisite pam_deny.so
auth required pam_permit.so
어떤 생각이나 의견이라도 대단히 감사하겠습니다!
두 번째 편집시스템에서는 이것이 중복되지 않은 이유에 대한 설명이 필요합니다."이 PAM 코드가 데비안 시스템에 대한 모든 로그인을 차단하는 이유는 무엇입니까?"
- 스택 상단에 있는 목록에 pam_tally2를 포함시켰습니다.
- 또한 성공적으로 로그인하면 카운터가 0으로 설정됩니다.
- 계정 비밀번호를 변경한 후 이 문제가 발생합니다.
- 다른 계정으로 시스템에 로그인하는데 문제가 없습니다. (비밀번호는 변경되지 않았습니다.)
답변1
데비안에서 Buster Tally2는 이미 시스템의 일부이지만 사용자가 설정을 변경하지 않는 한 아무것도 차단하지 않습니다. 그건 매우 쉬워요. 파일 1개만 편집하면 됩니다.
sudo nano /etc/pam.d/common-auth
두 줄을 추가해야 합니다. 이것은 주석 #여기 다음의 첫 번째 줄이어야 합니다. 패키지별 모듈 추가는 다음과 같습니다.
‘auth required pam_tally2.so onerr=fail deny=n unlock_time=m audit’
여기서 n은 계정이 차단되기 전에 허용되는 로그인 시도 횟수입니다. 차단해도 로그인을 시도할 수는 있지만, 올바른 비밀번호를 입력하더라도 시스템에서 로그인할 수 없습니다. m은 계정이 잠긴 시간(초)입니다. 이후 올바른 비밀번호를 입력하시면 로그인이 가능합니다.
두 번째 줄을 파일의 마지막 줄로 추가할 수 있습니다. 로그인 시도가 실패하거나 잠금 시간 내에 있을 때마다 Tally2는 로그인 시도 횟수를 계산합니다. 이 숫자가 n보다 크면 시스템이 잠긴 상태입니다. 그러나 올바른 비밀번호로 로그인한 후 카운터를 0으로 설정하려면 시스템에 다음을 알려야 합니다.
pam_tally2.so 계정이 필요합니다.
이 두줄만 추가해주세요