NAME
pam_tally2 – Modulo contador de login (contagem)
SINOPSE
pam_tally2.so [file=/path/to/counter] [onerr=[fail|succeed]] [magic_root] [even_deny_root] [deny=n] [lock_time=n] [unlock_time=n] [root_unlock_time] [serialize] [audit] [silent] [no_login_info]
pam_tally2 [—file /path/to/counter] [—user username] [—reset[n]] [—quiet]
DESCRIPTION
Este módulo mantem uma contagem das tentativas de acessos, pode reiniciar a contagem com sucesso, pode negar acesso se muitas tentativas falham.
pam_tally2 divide-se em duas partes: pam_tally2.so e pam_tally2. O primeiro é o módulo do PAM e o segundo um programa stand-alone. pam_tally2 é um aplicativo (opcional) que pode ser usado para consultar e manipular o arquivo de contagem. O programa pode exibir a contagem do usuário, parametrizar contagem de usuário ou limpar todas as contagem. Parametrizações para fazer a contagem podem ser uteis para bloquear os usuários sem alterar suas senhas. Por exemplo, pode-se limpar todas as contagem a meia-noite usando-se o cron.
Normalmente, falhas de acesso com o usuário root não fara com que a conta root fique bloqueada, para evitar ataques de negação de serviço: se o seu usuários não recebe contas de shell e o root só podem fazer login via su ou no console da maquina (não telnet/rsh, etc), isso é seguro.
OPÇÕES
OPÇÕES GLOBAIS
Estas opções podem ser usadas no modulo auth e account.
onerr=[fail|succeed]
se algo estranho acontece (como não conseguir abrir o arquivo), retorna com PAM_SUCCESS se onerr=succeed é dado senão um código de erro do PAM.
file=/path/to/counter
arquivo onde será mantida a contagem. o padrão é /var/log/tallylog.
audit
Irá registrar o nome do usuário no log do sistema se o usuário não for encontrado.
silent
não existe mensagens de informações.
no_log_info
não grava mensagens de log via syslog(3).
AUTH OPTIONS
Primeira fase de autenticação contra as tentativas de login e verifica se deve ser negado acesso ao usuário. Se o usuário é autenticado, o processo de login continua para o pam_setcred(3) e o contador é zerado.
deny=n
Nega o acesso se a contagem para este usuário excede n.
lock_time=n
Sempre negar n segundos após tentativas mal sucedidas.
unlock_time=n
Permite o acesso após n segundos após as tentativas de falhas.
magic_root
Se o módulo é chamado por um usuário com uid=0 o contador não é incrementado. O administrador de sistemas deve utilizar isso para usuários de serviços como o su, caso contrario, este argumento deve ser omitido.
no_lock_time
não utiliza o campo .fail_locktime no arquivo /var/log/faillog para este usuário.
even_deny_root
conta root pode tornar-se indisponivel.
root_unlock_time=n
Esta opção implica na opção even_deny_root. Permite o acesso após n segundos após as tentativas de falhas. Se esta opção for utilizada o usuário root será bloqueado para um periodo de tempo especificado depois que ele ultrapassou o seu máximo de tentativas permitidas.
serialize
serializar o acesso ao arquivo de registro usando bloqueios.
OPÇÃO ACCOUNT
Redefine tentativas do contador se o usuário não é root. Esta fase pode ser usado opcionalmente por serviços que não chamam o pam_setcred(3) corretamente ou se a reinicialização deve ser feito independentemente do fracasso de contas dos outros módulos.
magic_root
Se o módulo é chamado por um usuário com uid=0 o contador não é incrementado. O administrador de sistemas deve utilizar isso para usuários de serviços como o su, caso contrario, este argumento deve ser omitido.
VALORES RETORNADOS
PAM_AUTH_ERR
uma opção invalida foi dada, o módulo não foi capaz de recuperar o nome do usuário, nenhum arquivo counter válido foi encontrado, ou muitos logins falhos.
PAM_SUCCESS
tudo que foi bem sucedido
PAM_USER_UNKNOWN
usuário não conhecido
NOTA
pam_tally2 não é compatível com o formato de arquivo do antigo pam_tally. Isto é causado pela exigência de compatibilidade entre o formato de arquivo tallylog entre arquiteturas de 32bits e 64bits em sistemas multiarch.
EXEMPLOS
adicione as seguintes linhas ao arquivo /etc/pam.d/login para bloquear a conta após 4 tentativas de falhas no login. A conta do root também será bloqueada. As contas serão automaticamente desbloqueada após 20 minutos.
auth required pam_securetty.so
auth required pam_tally2.so deny=4 even_deny_root unlock_time=1200
auth required pam_env.so
auth required pam_unix.so
auth required pam_nologin.so
account required pam_unix.so
password required pam_unix.so
session required pam_limits.so
session required pam_unix.so
session required pam_lastlog.so nowtmp
session optional pam_mail.so standard
Nenhum comentário:
Postar um comentário