없이 구성하고 싶습니다. 세션을 삭제하기 전에 로그인하기 위해 비밀번호를 입력(인증 시도)하라는 메시지가 표시되는 경우가 있습니다. PAM이 이 시나리오를 지원합니까? 그렇다면 필요한 구성을 도와줄 수 있습니까?
답변1
PAM에는 다음과 같은 로그인 카운터 모듈이 있습니다.pam_tally로그인 시도 횟수를 유지하고 특정 횟수의 로그인 시도 실패 시 추가 시도를 차단하는 데 사용할 수 있습니다.
예:
Debian에서는 다음 줄을 추가하여 /etc/pam.d/common-auth계정이 잠기기 전에 사용자에게 세 번의 로그인 시도를 제공할 수 있습니다.
auth required pam_tally.so onerr=fail deny=3 no_magic_root
이렇게 하면 no_magic_root루트 사용자가 잠기는 것을 방지할 수 있습니다.
~처럼페테브이 unlock_time옵션을 사용하면 잠긴 계정이 자동으로 잠금 해제되는 시간(초)을 지정할 수 있습니다. 이 옵션을 1초 동안 계정을 잠그는 으로 설정하면 1지정된 횟수만큼 로그인을 시도한 후 로그인 시도를 중단하면서도 사용자가 (거의) 즉시 재시도할 수 있도록 허용할 수 있습니다.
다음 줄을 추가하면 /etc/pam.d/common-account로그인 성공 후 로그인 횟수가 재설정됩니다.
account required pam_tally.so reset no_magic_root
Fedora에서는 두 줄을 모두 /etc/pam.d/system-auth.
userpam_tally아래와 같이 포함된 유틸리티를 사용하여 잠긴 계정에 대한 액세스를 복원할 수 있습니다 .
$ pam_tally --user user --reset=0
답변2
인증에 실패한 횟수가 아닌 메시지가 표시되는 횟수를 제어하려는 경우 PAM을 통해 관리하는 데 어려움을 겪을 수 있습니다. 예를 들어 SSH에는 자체 구성이 있습니다.
NumberOfPasswordPrompts
Specifies the number of password prompts before giving up. The
argument to this keyword must be an integer. The default is 3.