Uzamknutie konta po neuspesnych prihlaseniach

Sekcia: Konfigurácia 22.06.2008 | 20:46
Avatar david1 Debian Etch, Ubuntu 8.10  Používateľ
Caute,po dlhsom zistovani sa mi podarilo konecne nastavit zablokovanie konta po x-tom neuspesnom zadani hesla,ale funguje to nejako zvlastne. Nastavil som zablokovanie po 3 pokusoch,ked sa na prihlasovacej obrazovke prepnem na nejaku textovu konzolu napr. pomocou CTRL+ALT+F1 a 3 krat zadam nespravne heslo tak 4. krat sa uz neprihlasim ani spravnym heslom,konto je zablokovane,takze to funguje ako som chcel,no ked sa prepnem spat na graficku obrazovku CTRL+ALT+F7 a zadam 3. krat nespravne a 4. krat spravne heslo tak sa v pohode prihlasim,dokonca sa mi podari prihlasit aj po predchadzajucom zablokovani v textovej konzole. Je to chyba alebo vlastnost Ubuntu? Len pre doplnenie nastavil som to prikazom faillog --maximum 3 a vypis prikazom faillog -u david informuje o tom ze som prekrocil max. pocet prihlaseni no nejako to nefunguje:
david@david-nb:~$ faillog -u david
Login       Chybné   Najviac Posledné                 Na
david           8        3   06/22/08 18:24:01 +0200  tty1
david@david-nb:~$ 
    • Re: Uzamknutie konta po neuspesnych prihlaseniach 22.06.2008 | 21:11
      Avatar lime Debian, Red Hat, Fedora Core 3  Používateľ
      mozes pouzit aj fail2ban

      http://www.fail2ban.org/
      Prejdite z modrej obrazovky k linuxu :))
      • Re: Uzamknutie konta po neuspesnych prihlaseniach 23.06.2008 | 00:06
        Avatar david1 Debian Etch, Ubuntu 8.10  Používateľ
        Hmm ale to je na blokovanie IP prihlasovanych z vonku,ale ja mam na mysli lokalne prihlasovanie na PC.
    • Re: Uzamknutie konta po neuspesnych prihlaseniach 25.06.2008 | 13:00
      Avatar david1 Debian Etch, Ubuntu 8.10  Používateľ
      Nepozna niekto nejaky lepsi nastroj na uzamykanie uzivatela po neuspesnych pokusoch o prihlasenie?
      • Re: Uzamknutie konta po neuspesnych prihlaseniach 25.06.2008 | 19:52
        WlaSaTy   Návštevník
        Nastroj? Nie. Ale PAM to vedel uz pred rokmi. V com nevyhovuje?
        • Re: Uzamknutie konta po neuspesnych prihlaseniach 25.06.2008 | 20:03
          Avatar david1 Debian Etch, Ubuntu 8.10  Používateľ
          Ano PAM ale ktory modul? Kde sa to konfiguruje? Hladal som googlil som nenasiel som hmm..
          • Re: Uzamknutie konta po neuspesnych prihlaseniach 25.06.2008 | 23:40
            WlaSaTy   Návštevník
            nie som si isty ci pam_tally je to co si chcel najst.
            • Re: Uzamknutie konta po neuspesnych prihlaseniach 26.06.2008 | 11:02
              Avatar david1 Debian Etch, Ubuntu 8.10  Používateľ
              ano toto jedine som nasiel aj ja,nainstalovane to nemam a balik pre ubuntu som nenasiel
              • Re: Uzamknutie konta po neuspesnych prihlaseniach 26.06.2008 | 11:23
                Avatar uid0 Debian  Používateľ
                v debiane je v balicku libpam-modules, ktory je povinny
                Debian. apt-get into it…
            • Re: Uzamknutie konta po neuspesnych prihlaseniach 26.06.2008 | 20:43
              Avatar david1 Debian Etch, Ubuntu 8.10  Používateľ
              Nastavil som pam_tally podla toho navodu cize som do suboru /etc/pam.d/login vlozil riadok
              auth     required       pam_tally.so deny=5 per_user
              podla mojich poziadaviek,cize podla navodu by to malo uzamknut uzivatela po 5 neuspesnych prihlaseniach mam pravdu? No uz po 3 neuspesnych pokusoch mi napise
              Maximum number of tries exceeded (3)
              a zablokuje ma. Takze z toho vyplyva ze to musi byt nastavene este niekde inde,ale kde?
            • Re: Uzamknutie konta po neuspesnych prihlaseniach 26.06.2008 | 20:48
              Avatar david1 Debian Etch, Ubuntu 8.10  Používateľ
              Pripajam vypis suboru /etc/pam.d/login:
              #
              # The PAM configuration file for the Shadow `login' service
              #
              
              # Outputs an issue file prior to each login prompt (Replaces the
              # ISSUE_FILE option from login.defs). Uncomment for use
              # auth       required   pam_issue.so issue=/etc/issue
              
              # Disallows root logins except on tty's listed in /etc/securetty
              # (Replaces the `CONSOLE' setting from login.defs)
              auth       requisite  pam_securetty.so
              
              # Disallows other than root logins when /etc/nologin exists
              # (Replaces the `NOLOGINS_FILE' option from login.defs)
              auth       requisite  pam_nologin.so
              
              # SELinux needs to be the first session rule. This ensures that any 
              # lingering context has been cleared. Without out this it is possible 
              # that a module could execute code in the wrong domain.  (When SELinux
              # is disabled, this returns success.)
              session    required   pam_selinux.so close
              
              # This module parses environment configuration file(s)
              # and also allows you to use an extended config
              # file /etc/security/pam_env.conf.
              # 
              # parsing /etc/environment needs "readenv=1"
              session       required   pam_env.so readenv=1
              # locale variables are also kept into /etc/default/locale in etch
              # reading this file *in addition to /etc/environment* does not hurt
              session       required   pam_env.so readenv=1 envfile=/etc/default/locale
              
              # Standard Un*x authentication.
              @include common-auth
              
              # This allows certain extra groups to be granted to a user
              # based on things like time of day, tty, service, and user.
              # Please edit /etc/security/group.conf to fit your needs
              # (Replaces the `CONSOLE_GROUPS' option in login.defs)
              auth       optional   pam_group.so
              
              # Zamknutie konta po 5 neuspesnych prihlaseniach
              auth       required   pam_tally.so deny=5 per_user
              
              # Uncomment and edit /etc/security/time.conf if you need to set
              # time restrainst on logins.
              # (Replaces the `PORTTIME_CHECKS_ENAB' option from login.defs
              # as well as /etc/porttime)
              # account    requisite  pam_time.so
              
              # Uncomment and edit /etc/security/access.conf if you need to
              # set access limits.
              # (Replaces /etc/login.access file)
              # account  required       pam_access.so
              
              # Sets up user limits according to /etc/security/limits.conf
              # (Replaces the use of /etc/limits in old login)
              session    required   pam_limits.so
              
              # Prints the last login info upon succesful login
              # (Replaces the `LASTLOG_ENAB' option from login.defs)
              session    optional   pam_lastlog.so
              
              # Prints the motd upon succesful login
              # (Replaces the `MOTD_FILE' option in login.defs)
              session    optional   pam_motd.so
              
              # Prints the status of the user's mailbox upon succesful login
              # (Replaces the `MAIL_CHECK_ENAB' option from login.defs). 
              #
              # This also defines the MAIL environment variable
              # However, userdel also needs MAIL_DIR and MAIL_FILE variables
              # in /etc/login.defs to make sure that removing a user 
              # also removes the user's mail spool file.
              # See comments in /etc/login.defs
              session    optional   pam_mail.so standard
              
              # Standard Un*x account and session
              @include common-account
              @include common-session
              @include common-password
              
              # SELinux needs to intervene at login time to ensure that the process
              # starts in the proper default security context. Only sessions which are
              # intended to run in the user's context should be run after this.  (When
              # SELinux is disabled, this returns success.)
              session required pam_selinux.so open
              
              • Re: Uzamknutie konta po neuspesnych prihlaseniach 26.06.2008 | 21:39
                WlaSaTy   Návštevník
                Vyborne, takze si to nasiel. Otazkou je na kolko si to nastavil cez faillog tak ako je to napisane v 6.31.5 Examples.
                • Re: Uzamknutie konta po neuspesnych prihlaseniach 26.06.2008 | 21:53
                  Avatar david1 Debian Etch, Ubuntu 8.10  Používateľ
                  Predtym som to mal nastavene na 3 ale potom som to zmenil na 0 cize bez limitu podla manualu
                  david@david-nb:~$ faillog -u david
                  Login       Chybné   Najviac Posledné                 Na
                  david           0        0   06/26/08 19:38:36 +0200  tty1
                  david@david-nb:~$
                  a stale je to tak ako som pisal hore.
                  • Re: Uzamknutie konta po neuspesnych prihlaseniach 26.06.2008 | 22:00
                    WlaSaTy   Návštevník
                    Takze ak to chapem dobre, tak ty chces zablokovat konto po nultom zlom pokuse? Som myslel ze to nastavis na tych tvojich 5, ale nevadi.
                    • Re: Uzamknutie konta po neuspesnych prihlaseniach 26.06.2008 | 22:58
                      Avatar david1 Debian Etch, Ubuntu 8.10  Používateľ
                      Myslel som ze nastavenie faillogu sa bije s pam_tally tak som ho vypol ale uz je aj faillog nastaveny na 5 a aj pam_tally. No sprava sa to dost divne - ked zadam zle heslo 3. krat vypise hlasku Maximum number of tries exceeded (3) a ked 4. krat zadam spravne heslo pusti ma dnu,ale ked ho zadam zle uz po tomto 4. pokuse ma zablokuje,takze stale to nie je tych 5.
                      • Re: Uzamknutie konta po neuspesnych prihlaseniach 26.06.2008 | 23:46
                        WlaSaTy   Návštevník
                        to nastavenie sa nebije, to nastavenie sa upresnuje. nieco nastavis globalne pre masinu, nieco sa da pre jednotlivych uzivatelov. inak nechyba ti tam nieco na odomknutie?

                        inak neviem preco mam ten pocit ze sa tie nastavenia maju rozdelit na dva riadky (auth a account). Inak ta hlaska na 3 zle prihlasenia, to by zaujimalo aj mna z ktoreho /etc/issue pochadza.
                        • Re: Uzamknutie konta po neuspesnych prihlaseniach 27.06.2008 | 00:30
                          WlaSaTy   Návštevník
                          jaj, nie. ta blbina s trojkou pochadzala zo stareho faillogu.
                        • Re: Uzamknutie konta po neuspesnych prihlaseniach 27.06.2008 | 11:04
                          Avatar david1 Debian Etch, Ubuntu 8.10  Používateľ
                          Uz je to nastavene v pam_tally aj faillogu na rovnaku hodnotu (5). Nieco na odomknutie? Hmm na odomknutie tam nevidim ziadne nastavenie,uzamknutie na urcity cas nastavene nemam takze nemam ani odomknutie nepotrebujem,uzamknutie je nastalo a pocitadlo resetujem cez roota.

                          Riadok Account nema pre mna vyuzitelne nastavenia,je tam len parameter no_reset a magic_root a tie ja nastavit nepotrebujem pre moje ucely.
                          • Re: Uzamknutie konta po neuspesnych prihlaseniach 27.06.2008 | 12:05
                            Avatar uid0 Debian  Používateľ
                            passwd -u ?
                            Debian. apt-get into it…
                            • Re: Uzamknutie konta po neuspesnych prihlaseniach 27.06.2008 | 12:13
                              Avatar david1 Debian Etch, Ubuntu 8.10  Používateľ
                              Nie vsak passwd -u odblokuje konto zablokovane prikazom passwd -l a to je ine ako zablokovanie pri prihlasovani. Ja to robim pomocou faillog -r <user>, resetnem counter.
    • Re: Uzamknutie konta po neuspesnych prihlaseniach 29.06.2008 | 18:34
      Avatar david1 Debian Etch, Ubuntu 8.10  Používateľ
      OK podarilo sa mi to nastavit uz to blokuje po chybnych pokusoch,ale ma to jednu malu kozmeticku chybu,s ktorou si lamem hlavu uz od zaciatku. Toto vsetko funguje LEN ked sa prihlasim z konzoly tty1-tty6,pokial sa pokusam zablokovat konto nespravnymi heslami v tty7 v grafickom mode tak to nefunguje. Da sa aj toto niekde nastavit?
      • Re: Uzamknutie konta po neuspesnych prihlaseniach 01.07.2008 | 01:55
        WlaSaTy   Návštevník
        hm, zeby sa dal nakonfigurovat DM tak aby neinformoval o zlych pokusoch na prihlasenie? to sa mi nezda.
        • Re: Uzamknutie konta po neuspesnych prihlaseniach 01.07.2008 | 08:53
          Avatar david1 Debian Etch, Ubuntu 8.10  Používateľ
          mozes mi povedat co je DM? :)
          • Re: Uzamknutie konta po neuspesnych prihlaseniach 01.07.2008 | 15:16
            Avatar nipo Ubuntu 9.04  Používateľ
            No predsa Depeche Mode :-D
          • Re: Uzamknutie konta po neuspesnych prihlaseniach 01.07.2008 | 16:07
            Avatar Peter Rozum Arch Linux  Používateľ
            Display Manager. v tvojom pripade najskor GDM
            Everything is proceeding as I have foreseen.
            • Re: Uzamknutie konta po neuspesnych prihlaseniach 01.07.2008 | 20:59
              Avatar david1 Debian Etch, Ubuntu 8.10  Používateľ
              a kde sa nastavuje GDM? :)
        • Re: Uzamknutie konta po neuspesnych prihlaseniach 01.07.2008 | 22:06
          Avatar david1 Debian Etch, Ubuntu 8.10  Používateľ
          Ide o to,ze ono mi to ani len nerata tie zle prihlasenia,counter je stale na 0,takze tu nepojde o nastavenia DM.
          • Re: Uzamknutie konta po neuspesnych prihlaseniach 01.07.2008 | 22:15
            WlaSaTy   Návštevník
            Pokial Display Manager vykonava autorizaciu, tak by mal pouzit standardne volania systemu. Inak by sa cez neho clovek jednoducho neprihlasil. K autorizacii sluzi PAM a teoreticky je mozne ze si to nekonfiguroval pre GDM alebo ze PAM konfiguracia pre GDM je odlisna. Skus sa pozriet do /etc/pam.d/gdm ci z toho nieco nevycitas, najme include. Ty si to nekonfiguroval totizto v common-auth alebo niecom podobnom ale v login.
            • Re: Uzamknutie konta po neuspesnych prihlaseniach 01.07.2008 | 22:50
              Avatar david1 Debian Etch, Ubuntu 8.10  Používateľ
              Ano mas pravdu bolo to v /etc/pam.d/gdm,pridal som tam riadok auth required pam_tally.so deny=5 per_user a uz to vsetko funguje.. diky za pomoc :)
              • Re: Uzamknutie konta po neuspesnych prihlaseniach 01.07.2008 | 23:01
                WlaSaTy   Návštevník
                Ty koki, fakt? Tak to je lacno zarobene pivo. Som pouzil len google :)
                • Re: Uzamknutie konta po neuspesnych prihlaseniach 01.07.2008 | 23:07
                  Avatar david1 Debian Etch, Ubuntu 8.10  Používateľ
                  Ved hej google,ja som googlil okolo toho uz tolko ze som uz nevedel kde som a potreboval som usmernit :)
                  • Re: Uzamknutie konta po neuspesnych prihlaseniach 01.07.2008 | 23:12
                    WlaSaTy   Návštevník
                    tak chod po to pivo k baru.
                    • Re: Uzamknutie konta po neuspesnych prihlaseniach 01.07.2008 | 23:19
                      Avatar david1 Debian Etch, Ubuntu 8.10  Používateľ
                      heh to ta tam rovno pozvem