Faillock : लगातार असफल लॉगिन की सीमा तय करें2024/06/19 |
|
लगातार प्रमाणीकरण विफलताओं की गणना करें और सीमा पार करने वाले उपयोगकर्ताओं को लॉक करें। |
|
| [1] | PAM Faillock मॉड्यूल कॉन्फ़िगर करें। |
|
root@dlp:~#
vi /etc/pam.d/common-auth # पंक्ति 17 : निम्न प्रकार की पंक्तियाँ जोड़ें # here are the per-package modules (the "Primary" block) auth required pam_faillock.so preauth auth [success=1 default=ignore] pam_unix.so nullok auth [default=die] pam_faillock.so authfail auth sufficient pam_faillock.so authsucc # here's the fallback if no module succeeds auth requisite pam_deny.so # prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around auth required pam_permit.so # and here are more per-package modules (the "Additional" block) auth optional pam_cap.so # end of pam-auth-update config
root@dlp:~#
vi /etc/pam.d/common-account # पंक्ति 17 : इस प्रकार की एक पंक्ति जोड़ें
# here are the per-package modules (the "Primary" block)
account required pam_faillock.so
account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so
# here's the fallback if no module succeeds
account requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
account required pam_permit.so
# and here are more per-package modules (the "Additional" block)
root@dlp:~#
vi /etc/security/faillock.conf # Faillock सेटिंग्स कॉन्फ़िगर करें
# निम्नलिखित पंक्तियों पर टिप्पणी करें जिन्हें आप सक्षम करना चाहते हैं और यदि आवश्यक हो तो पैरामीटर भी बदलें # पंक्ति 10 : यदि उपयोगकर्ता नहीं मिलता है तो सिस्टम लॉग में उपयोगकर्ता नाम दर्ज करें # audit # पंक्ति 14 : सूचनात्मक संदेश न छापें # silent # पंक्ति 18 : syslog के माध्यम से सूचनात्मक संदेश लॉग न करें # no_log_info # पंक्ति 27 : केवल स्थानीय उपयोगकर्ताओं के लिए असफल उपयोगकर्ता प्रमाणीकरण प्रयासों को ट्रैक करें # AD, Idm, LDAP और अन्य जैसे केंद्रीकृत उपयोगकर्ताओं को अनदेखा करें # local_users_only # पंक्ति 32 : यदि लगातार प्रमाणीकरण विफलताओं की संख्या हो तो पहुँच अस्वीकार करें # deny = 3 # पंक्ति 38 : अंतराल की लंबाई जिसके दौरान उपयोगकर्ता खाते के लिए लगातार प्रमाणीकरण विफलताएं होनी चाहिए # fail_interval = 900 # पंक्ति 45 : लॉक आउट के बाद N सेकंड के बाद पहुंच पुनः सक्षम हो जाएगी # यदि [unlock_time = 0] सेट किया गया हो तो कभी भी स्वचालित रूप से पुनः सक्षम नहीं किया जाएगा # unlock_time = 600 # पंक्ति 49 : रूट अकाउंट को नियमित अकाउंट की तरह लॉक किया जा सकता है # even_deny_root # पंक्ति 55 : यदि सक्षम किया गया है तो लॉक आउट के बाद N सेकंड के बाद रूट की पहुंच पुनः सक्षम हो जाएगी [even_deny_root] # root_unlock_time = 900 # पंक्ति 62 : समूह के सदस्यों को [even_deny_root] + [root_unlock_time = N] के समान ही संभाला जाएगा # admin_group = <admin_group_name> |
| [2] | उपयोगकर्ता खातों की असफल लॉगिन गणना प्रदर्शित करें या लॉक किए गए खाते को निम्नानुसार मैन्युअल रूप से अनलॉक करें। |
|
# बिना तर्क के विफलता की गणना की सूची प्रदर्शित करें root@dlp:~# faillock noble: When Type Source Valid 2024-06-19 02:06:45 RHOST 127.0.0.1 V 2024-06-19 02:06:50 RHOST 127.0.0.1 V 2024-06-19 02:06:55 RHOST 127.0.0.1 V root: When Type Source Valid ubuntu: When Type Source Valid 2024-06-19 02:06:26 RHOST V 2024-06-19 02:06:31 RHOST V # उपयोगकर्ता निर्दिष्ट करके प्रदर्शित करें root@dlp:~# faillock --user noble noble: When Type Source Valid 2024-06-19 02:06:45 RHOST 127.0.0.1 V 2024-06-19 02:06:50 RHOST 127.0.0.1 V 2024-06-19 02:06:55 RHOST 127.0.0.1 V # उपयोगकर्ताओं के लिए असफल प्रयासों की संख्या रीसेट करें root@dlp:~# faillock --user noble --reset
|
| Sponsored Link |