El 25 oct 2023, a las 22:46, Listas <debian@jherrero.org> escribió:
El mié, 25-10-2023 a las 22:07 +0200, Roberto Leon Lopez escribió:
En Debian 12 está el paquete libpam-modules-bin la utilidad faillock
y su módulo pam_faillock.so, al leer su página man no declara ninguna
advertencia porque podemos dejar el sistema totalmente bloqueado para
acceder con cualquier cuenta y es algo muy normal que pase al colocar
las dos siguiente líneas:
auth [default=die] pam_faillock.so authfail
auth sufficient pam_faillock.so authsucc
En /etc/pam.d/login o en /etc/pam.d/common-auth.
¿Me pueden dar alguna recomendación o alternativa al respecto?
Pues en principio solo debería bloquear la cuenta que tuvo los intentos
de login incorrectos. También, por defecto, esas cuentas se desbloquean
a los 10 minutos. Mientras se hacen pruebas se puede disminuir ese
valor en /etc/security/faillock.conf
Un saludo
Te explico en más detalle.
En Debian 12 lees la página `man pam_faillock` y te habla del fichero /etc/pam.d/login, aunque en los ejemplos del final es /etc/pam.d/config, donde escribir las siguientes líneas:
auth [default=die] pam_faillock.so authfail
auth sufficient pam_faillock.so authsucc
Pero si vas al fichero /etc/pam.d/login aparecen muchas entradas de tipo service y en medio encuentras:
# Standard Un*x authentication.
@include common-auth
Si pones las dos líneas de pam_faillock antes o después se produce un bloqueo que no deja hacer login ni con root.
Tendría que cambiar el fichero /etc/pam.d/common-auth y asegurarte colocar las líneas de faillock después de:
auth [success=1 default=ignore] pam_unix.so nullok
Y no olvidar que si llamas a pam-auth-update puedes borrar todos los ficheros common-* y vuelve a su estado original.
Lo que más me escama es la situación de bloqueo total del sistema.
--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)