login비밀번호 무차별 대입을 방지하기 위해 장애 잠금 및 기타 일반적인 방법을 사용할 때 모든 시도( , su, sudo, doas등 ) 에서 계정이 잠겨 있음을 사용자에게 어떻게 표시합니까 pam?
휴가에서 돌아온 후 합법적으로 비밀번호를 기억하려고 하는 사용자에게 중요한 정보나 내용을 표시하지 않는 것은 전체 프로세스에 해를 끼치는 것 같습니다. 이제 올바른 비밀번호는 잘못된 것으로 판명되어 더 많은 문제를 일으킬 것입니다.
답변1
비슷한 것을 시도해 볼 수 있습니다 fail2ban. 자체 문서에서:
Fail2Ban은 /var/log/auth.log와 같은 로그 파일을 검사하고 로그인 시도 실패 횟수가 너무 많은 IP 주소를 차단합니다. 구성 가능한 기간 동안 해당 IP 주소로부터의 새 연결을 거부하도록 시스템 방화벽 규칙을 업데이트하여 이를 수행합니다.
모든 로그인 방법에서 작동하는지 확실하지 않지만 ssh세션에서는 훌륭하게 작동합니다. 기본적으로 수행되는 작업은 특정 IP 주소가 인증되지 않도록 차단하는 것입니다. 차단 기간은 발생한 로그인 실패 횟수에 따라 달라집니다. 공격이 계속될수록 금지 기간은 길어집니다. 이렇게 하면 공격자가 시도할 수 있는 횟수가 줄어듭니다.
사용자가 휴가에서 돌아왔다고 가정하면(또는 아직 휴가 중인 경우) 해당 IP가 아직 차단되지 않았기 때문에 로그인할 수 있어야 합니다.
답변2
@MC68020의 의견에서 제안한대로
파일을 삭제하거나 silent삭제하면 대부분의 장소에 잠금 메시지가 표시됩니다./etc/security/faillock.conf/etc/pam.d/
그러나 @TelcoM이 자신의 의견에서 지적했듯이 이는 시스템에서 유효한 사용자 이름을 노출할 수 있습니다.