前言
本篇文章的配置仅使用于el8版本的Linux,目前已在centos8、BCLinux8上验证成功,其他版本系统是否可行还得考查。
el8中管理用户登录失败锁定账户所用的模块是faillock.so,如果想要将配置应用与其他版本的Linux,建议确认Linux上是否存在faillock模块,并且在配置之前使用同版本的虚拟机进行配置测试,并在正式配置之前进行必要的备份操作。
------这个配置的风险可能会远比你预想的高,如果配置错了,你可能没有挽回的机会,不得不重装系统。哥们在这个问题上吃过一次大亏,引以为戒。
一、配置内容
shell
auth required pam_faillock.so preauth silent audit deny=3 unlock_time=300
auth [success=1 default=ignore] pam_unix.so nullok_secure
auth required pam_faillock.so authfail audit deny=3 unlock_time=300
account required pam_faillock.so这个是配置的内容,其中deny=3表示输错3次锁定账号,unlock_time=300表示锁定时间,单位为秒。
这两个参数可以根据实际情况进行修改,注意前后统一,并且不要改动其他内容。
二、需要配置的文件
shell
sudo vi /etc/pam.d/login
sudo vi /etc/pam.d/sshd
sudo vi /etc/pam.d/system-auth
sudo vi /etc/pam.d/password-auth从安全方面考虑,以上几个文件都需要加以限制,它们分别对不同方面的安全认证进行管理,你可以根据实际情况进行调整,我简单介绍下这几个配置分别管理了什么:
- login:管理本地用户登录的配置,例如你用的vmware虚拟机,在vmware虚拟机窗口中进行登录时,会进行该文件的认证逻辑。
- sshd:管理远程ssh登录认证的配置。例如你通过ssh软件连接到vmware虚拟机,那么进入的将会是这个文件的认证逻辑。
- system-auth :当用户在系统中进行管理操作,执行sudo权限相关的命令时,例如
sudo vi /etc/my.cnf,将会进行这个文件的认证逻辑。 - passord-auth :当用户执行
passwd命令尝试修改密码时,将会进入该文件的认证逻辑。
如果你对其中的某个文件的修改有误,导致文件中的认证逻辑无法成功走下去,那么最终便会认证失败,即使你一直输入的时正确的密码。
例如当你对system-auth 文件进行修改有误,导致文件的认证逻辑无法成功走下去,那么你的所有sudo命令都语法成功执行,100%"密码错误"。(单是这种情况情况还可以抢救,不用急着remake)
三、配置的细节
认证配置文件中的逻辑具有前后关系,不可随意颠倒。
pam文件的配置有四个指令:
- auth:用于处理用户认证,即验证用户的身份。
- account:用于检查用户的账号状态,确保用户有权登录系统。
- session:即在用户成功登录后,系统如何处理会话的建立和终止。
- password:处理密码管理,即当用户更改密码时,系统如何处理密码的更改
配置文件的配置,一般都是以auth、account、session、password的顺序进行配置的。
而我们配置的内容是3条auth指令和一条account指令,因此应该要加在原本的auth和account指令之间。
如下所示:
shell
auth required pam_env.so
auth required pam_faildelay.so delay=2000000
auth sufficient pam_fprintd.so
auth [default=1 ignore=ignore success=ok] pam_usertype.so isregular
auth [default=1 ignore=ignore success=ok] pam_localuser.so
auth sufficient pam_unix.so nullok
auth [default=1 ignore=ignore success=ok] pam_usertype.so isregular
auth sufficient pam_sss.so forward_pass
auth required pam_deny.so
<faillock的配置加在这里>
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_usertype.so issystem
account [default=bad success=ok user_unknown=ignore] pam_sss.so
account required pam_permit.so
password requisite pam_pwquality.so local_users_only
password sufficient pam_unix.so sha512 shadow nullok use_authtok
password [success=1 default=ignore] pam_localuser.so
password sufficient pam_sss.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so注:此处仅做实例,其他pam配置可能与你系统上的有所差别,但这不是重点,你只明确应该把我们的配置放在哪里就行。其他无关的配置,请不要随意改动,避免给自己造成麻烦。
四、配置的日志
4.1 监视认证日志
shell
sudo tail -f /var/log/secure在你配置之前,建议单独开一个会话,执行以上命令,这个文件中记录着安全认证的情况,如果你的配置出现问题,也将会在这里找到线索。
注意一定要在修改配置之前,因为也只有这个时候,你才能100%查看这个文件的内容。
4.2 保持连接会话
在修改完成之后,建议保持当前会话不断开,并尝试新建一个新的会话。
这是因为,pam认证配置有误,会导致认证失败,新会话无法建立。但是原有的会话并不会断开。
原创内容,转载请说明出处。
这个pam认证配置的更多细节,我至今没有完成了解,欢迎大佬在评论区交流指导,谢谢。