3 Fehllogins = user 1stunde blockieren [Archiv] - linuxforen.de -- User helfen Usern

Archiv verlassen und diese Seite im Standarddesign anzeigen : 3 Fehllogins = user 1stunde blockieren

Vispo

28.05.04, 15:24

Es gab schon threads in diesem forum zu diesem thema. Aber keiner enthielt eine antwort.

Wie macht man dass nach 3 fehllogins zb.

auth required pam_tally deny=3

Ein timer aktiviert wird der die blockade des users nach 1stunde aufhebt.
ich möchte nicht das auf einmal ein unschuldiger user blockiert ist.
(besonders wenn ich den ssh root access aus distanz brauche und es dieser ist)

Vielen dank für eure hilfe
Vispo

P.S.: In diesem fall kann ich aus gründen welche auch immer keinen schlüssel mitnehmen. somit kein no password authentification.

kth

29.05.04, 01:48

Wie macht man dass nach 3 fehllogins zb.

auth required pam_tally deny=3

Ein timer aktiviert wird der die blockade des users nach 1stunde aufhebt.Diese Wirkung solltest du erreichen können, indem du dieses Skript (http://www.baverstock.org.uk/tim/pam/pam_tally/pam_tally_autoreset.pl) von einem "root"-Cronjob regelmäßig starten lässt.

ich möchte nicht das auf einmal ein unschuldiger user blockiert ist.
(besonders wenn ich den ssh root access aus distanz brauche und es dieser ist)Was "root" betrifft, kann das laut der Modul-Referenz (http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/pam-6.html#ss6.24) nur passieren, wenn du die Moduloptionen no_magic_root oder even_deny_root_account verwendest.

Blackhawk

29.05.04, 15:27

...
P.S.: In diesem fall kann ich aus gründen welche auch immer keinen schlüssel mitnehmen. somit kein no password authentification.
Bei ssh solltest Du Publickeys verwenden, dann gibt es auch keine falschen Passworte...

cane

02.06.04, 17:35

@Blackhawk

Bei ssh solltest Du Publickeys verwenden, dann gibt es auch keine falschen Passworte...

Du solltest erstmal lesen:

P.S.: In diesem fall kann ich aus gründen welche auch immer keinen schlüssel mitnehmen. somit kein no password authentification.

@Vispo

(besonders wenn ich den ssh root access aus distanz brauche und es dieser ist)

ist zu sagen dass der sofortige root-Login der Sicherheit wegen deaktiviert werden sollte.
Log dich aus der Ferne als User ein und werde dann per su - root!

mfg
cane

dragi

09.06.04, 13:51

kannman das nicht auch in der /etc/shadow angeben? In dem Feld nach dem Datum der Erstellung?

Dragi

Blackhawk

11.06.04, 14:21

so ein mechanismus ist natuerlich auch der Schluessel zu einem sehr einfachen DOS-Angriff...