저는 여러 대의 PC에서 데비안 버스터를 실행하고 있습니다. 저는 이 pam_tally2
모듈을 사용하여 시스템에 보안을 추가했습니다. ssh
데스크톱 로그인에서 테스트했는데 완벽하게 작동했습니다 .
따라서 추가 보안 계층을 위해 모든 PC가 PAM으로 보호되면사용자 비밀번호를 변경했습니다.
그 후 시스템을 재부팅할 때까지 모든 것이 정상이었습니다. 시스템을 재부팅하거나 로그아웃하고 로그인할 때마다 로그인을 시도하기 전에 5번 또는 10번 또는 원하는 횟수만큼 실패합니다. 이로 인해 시스템에서 로그아웃되었으며 root
다른 계정(또는)을 사용하여 시스템에 들어가서 /etc/pam.d/common-auth
로그인 편집을 통해서만 문제를 해결할 수 있었습니다.
임시방편으로 매번 로그인이 가능하도록 시도 횟수를 20번으로 늘렸습니다.
그러나 내가 뭔가 잘못하고 있거나 이것은 모듈의 버그입니다.
내 입장에서는 common-auth
이 줄을 추가하여 파일 만 편집했습니다.
auth required pam_tally2.so onerr=fail deny=3 unlock_time=600 audit
메인 블록에서 다음 auth
목록을 생성합니다.
auth required pam_tally2.so onerr=fail deny=5 unlock_time=1200
auth [success=1 default=ignore] pam_unix.so nullok_secure
auth requisite pam_deny.so
auth required pam_permit.so
어떤 생각이나 의견이라도 대단히 감사하겠습니다!
두 번째 편집시스템에서는 이것이 중복되지 않은 이유에 대한 설명이 필요합니다."이 PAM 코드가 데비안 시스템에 대한 모든 로그인을 차단하는 이유는 무엇입니까?"
- 스택 상단에 있는 목록에 pam_tally2를 포함시켰습니다.
- 또한 성공적으로 로그인하면 카운터가 0으로 설정됩니다.
- 계정 비밀번호를 변경한 후 이 문제가 발생합니다.
- 다른 계정으로 시스템에 로그인하는데 문제가 없습니다. (비밀번호는 변경되지 않았습니다.)
답변1
데비안에서 Buster Tally2는 이미 시스템의 일부이지만 사용자가 설정을 변경하지 않는 한 아무것도 차단하지 않습니다. 그건 매우 쉬워요. 파일 1개만 편집하면 됩니다.
sudo nano /etc/pam.d/common-auth
두 줄을 추가해야 합니다. 이것은 주석 #여기 다음의 첫 번째 줄이어야 합니다. 패키지별 모듈 추가는 다음과 같습니다.
‘auth required pam_tally2.so onerr=fail deny=n unlock_time=m audit’
여기서 n은 계정이 차단되기 전에 허용되는 로그인 시도 횟수입니다. 차단해도 로그인을 시도할 수는 있지만, 올바른 비밀번호를 입력하더라도 시스템에서 로그인할 수 없습니다. m은 계정이 잠긴 시간(초)입니다. 이후 올바른 비밀번호를 입력하시면 로그인이 가능합니다.
두 번째 줄을 파일의 마지막 줄로 추가할 수 있습니다. 로그인 시도가 실패하거나 잠금 시간 내에 있을 때마다 Tally2는 로그인 시도 횟수를 계산합니다. 이 숫자가 n보다 크면 시스템이 잠긴 상태입니다. 그러나 올바른 비밀번호로 로그인한 후 카운터를 0으로 설정하려면 시스템에 다음을 알려야 합니다.
pam_tally2.so 계정이 필요합니다.
이 두줄만 추가해주세요