注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

红烧鱼

linux & windows management

 
 
 

日志

 
 
关于我
mac

专注IT基础架构设计与运维。 欢迎给我留言,或邮件沟通zjwsk@163.com

网易考拉推荐

利用RHEL PAM中的pam_tally2功能,实现帐号锁定策略  

2014-06-30 21:46:46|  分类: Linux |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

pam_tally2,是pam_tally的升级版本,属于当前流行的RHEL5 (pam-0.99.6.x.el5),RHEL6 (pam-1.1.x.el6) 中PAM的一部分功能。 具体参数说明,建议查询man.

下面是man pam_tally2中的关于pam配置文件功能重新定义的说明,适用于RHEL6.x ,很清楚的说明了在RHEL 6.x 下面,system-auth & password-auth 之间的关系:

       The system-auth configuration file is included from nearly all individual service  configuration  files  with  the
       help of the include directive.

       The password-auth fingerprint-auth smartcard-auth configuration files are for applications which handle authenti-
       cation from different types of devices via simultaneously running individual conversations instead of  one  aggre-
       gate conversation.
   
基于此,各位该就可以明白为什么pam_tally2 功能,具体到不同OS/PAM版本,设定方法不一样。   

 


以下实验,适用于RHEL5.x , RHEL6.x ; 网络上关于这两行设定的放置位置,有多种描述,孰优孰劣待考。
两个PAM版本的设定模式相同,但是使用到的具体配置文件不同!

1. RHEL5 (pam-0.99.6.x.el5)
修改/etc/pam.d/system-auth-ac
该配置文件分为4段,分别在auth, account 两段的第一行,插入下述设定:

auth        required      pam_tally2.so deny=3 onerr=fail unlock_time=120 even_deny_root

account     required      pam_tally2.so


2. RHEL6 (pam-1.1.x.el6)
修改/etc/pam.d/password-auth-ac
该配置文件分为4段,分别在auth, account 两段的第一行,插入下述设定:

auth        required      pam_tally2.so deny=3 onerr=fail unlock_time=120 even_deny_root

account     required      pam_tally2.so


3. 完整配置文件如下:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_tally2.so deny=3 onerr=fail unlock_time=120 even_deny_root # <<--- add to here
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so

 

account     required      pam_tally2.so  # <<--- add to here
account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so

 

password ... (此部分为OS默认设定,未修改)
session ...(此部分为OS默认设定,未修改)



4. 状态及日志查询

4.1  查询帐号mac1当前的状态:
#pam_tally2 -u mac1
Login           Failures Latest failure     From
mac1                4    06/29/14 08:11:05  10.245.254.230

 

4.2 查询日志


#tail /var/log/secure
Jun 29 08:10:52 vscqB2Bv1 sshd[23037]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.245.254.230  user=mac1
Jun 29 08:10:55 vscqB2Bv1 sshd[23037]: Failed password for mac1 from 10.245.254.230 port 55462 ssh2
Jun 29 08:11:00 vscqB2Bv1 last message repeated 2 times
Jun 29 08:11:00 vscqB2Bv1 sshd[23041]: Connection closed by 10.245.254.230
Jun 29 08:11:00 vscqB2Bv1 sshd[23037]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.245.254.230  user=mac1
Jun 29 08:11:05 vscqB2Bv1 sshd[25693]: pam_tally2(sshd:auth): user mac1 (500) tally 4, deny 3 <<--- 密码3次错误,pam_tally2设定被触发生效
Jun 29 08:11:07 vscqB2Bv1 sshd[25693]: Failed password for mac1 from 10.245.254.230 port 55463 ssh2
Jun 29 08:11:08 vscqB2Bv1 sshd[25696]: Connection closed by 10.245.254.230

 

4.3 重置帐号mac1的状态(执行第一次时,仅显示当前状态;需要执行两次才能reset ?):
#pam_tally2 -u mac1 -r


5. 在man pam_tally2中,有写到一个修改/etc/pam.d/login 文件的示例,但是按照那种方式一直未实验成功,原因待查。


后记: 该安全设定,网络上可以查到很多方法,大多雷同,基本就是粘贴复制,不清楚那些人有没有真实的做过验证。


update:

#!/bin/sh 

OSVER=`uname -r | cut -c -6`

if [ $OSVER = "2.6.32" ]; then #rhel6
 sed -i '3a\auth        required      pam_tally2.so deny=3 onerr=fail unlock_time=120 even_deny_root' /etc/pam.d/password-auth-ac
 sed -i '9a\account     required      pam_tally2.so' /etc/pam.d/password-auth-ac

elif [ $OSVER = "2.6.18" ]; then #rhel5
 sed -i '3a\auth        required      pam_tally2.so deny=3 onerr=fail unlock_time=120 even_deny_root' /etc/pam.d/system-auth-ac
 sed -i '9a\account     required      pam_tally2.so' /etc/pam.d/system-auth-ac
fi


  评论这张
 
阅读(572)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017