SDB:Benutzerzugang nach fehlgeschlagenem Anmeldevorgang sperren

aus openSUSE, der freien Wissensdatenbank

Anliegen

Sie wollen beispielsweise nach dreimaligem Fehlschlagen des Anmeldevorgangs den Zugang eines Benutzers sperren.

Lösung

Im Folgenden wird beschrieben, wie Sie das mit /etc/passwd und dem Dienst SSH erreichen können. Im Prinzip ist dies mit jedem Dienst möglich, der PAM verwendet.

Es gibt ein PAM-Modul namens pam_tally.so mit dem Sie dies erreichen können. Fügen Sie folgende pam_tally.so-Zeilen zu /etc/pam.d/sshd hinzu:

 #%PAM-1.0
 auth required   pam_tally.so onerr=fail no_magic_root
 auth required   pam_unix2.so # set_secrpc
 auth required   pam_nologin.so
 auth required   pam_env.so
 account required        pam_unix2.so
 account required        pam_nologin.so
 account required        pam_tally.so deny=3 reset no_magic_root
 password required       pam_pwcheck.so
 password required       pam_unix2.so    use_first_pass use_authtok
 session required        pam_unix2.so    none     # trace or debug
 session required        pam_limits.so
 

Falls der Authentifikationsprozess eines Benutzers fehlschlägt, wird der Zähler für fehlgeschlagene Versuche um eins erhöht. Erreicht der Zähler die Zahl Drei (siehe den Parameter deny=3 parameter), wird der Zugang gesperrt.

Der gesperrte Zugang kann durch folgenden Aufruf wieder freigegeben werden:

faillog -r -a <UID>

wobei <UID> durch den echten Anmeldenamen des Benutzers ausgetauscht werden muss. Weitere Dokumentation zu pam_tally.so finden Sie in der pam-Dokumentation.