Am o problemă care, aproape sigur, este legată de modul în care am configurat faillock-ul în sistemul PAM-autentificare și autentificare-parolă pe unele servere RHEL7. Ni se cere să folosim STIG-uri, așa că trebuie să folosesc faillock cu opțiuni specifice asociate cu acesta. Pentru accesul general al utilizatorilor prin SSH, totul este în regulă. Problema apare numai atunci când rulează o scanare Nessus/vulnerabilitate prin numele de utilizator și parola pentru autentificare. Lucrul ciudat este că pot să intru SSH și să rulez toate comenzile sudo folosind același cont de scanare, iar scanerul nu raportează nicio problemă de autentificare inițial. Cu toate acestea, la un moment dat, scanarea atinge cele 3 parole invalide și declanșează faillock pentru a preveni accesul. Din jurnalele pe care le-am văzut, cred că parola eșuează atunci când este folosită pentru sudo, care cred că este fișierul de autentificare a sistemului. Dacă renunț la configurațiile de blocare a erorilor din autentificarea parolei și autentificarea sistemului, scanările funcționează bine. Dacă folosesc un cont AD, nu am această problemă, dar cred că asta se datorează faptului că conturile AD nu sunt obligate să se blocheze. Această problemă a apărut, de asemenea, numai după ce am integrat serverele noastre RHEL7 în AD prin sssd, dar acest proces necesită, de asemenea, să ruleze unele modificări authconfig.
Acesta este fișierul authconfig pe care îl folosesc acum, dar am încercat câteva variații cu schimbarea plasării liniilor, câte linii săriți, etc. toate fără succes. Probabil că este ceva evident, dar nu sunt un bărbat deștept.
auth required pam_env.so
auth required pam_faildelay.so delay=2000000
auth required pam_faillock.so preauth audit silent even_deny_root unlock_time=900 fail_interval=900 deny=3
auth [success=done authinfo_unavail=ignore ignore=ignore default=die] pam_pkcs11.so nodebug
auth [default=1 ignore=ignore success=ok] pam_succeed_if.so uid >= 1000 quiet
auth [default=1 ignore=ignore success=ok] pam_localuser.so
auth suficient pam_unix.so try_first_pass
cerință de auth pam_succeed_if.so uid >= 1000 quiet_success
auth suficient pam_sss.so forward_pass
auth [default=die] pam_faillock.so authfail audit deny=3 even_deny_root fail_interval=900 unlock_time=900
auth required pam_deny.so
cont este necesar pam_faillock.so
cont este necesar pam_unix.so
cont suficient pam_localuser.so
cont suficient pam_succeed_if.so uid < 1000 quiet
cont [implicit=succes prost=ok user_unknown=ignora] pam_sss.so
cont necesar pam_permit.so
parola necesară pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
parolă suficientă pam_unix.so sha512 shadow try_first_pass use_authtok
parolă suficientă pam_sss.so use_authtok
parola necesară pam_pwhistory.so use_authtok reamintiți=5 reîncercați=3
parola necesară pam_deny.so
sesiune opțională pam_keyinit.so revoke
sesiune necesară pam_limits.so
-session opțional pam_systemd.so
sesiune opțională pam_oddjob_mkhomedir.so umask=0077
sesiune [success=1 default=ignore] serviciul pam_succeed_if.so în crond quiet use_uid
sesiune necesară pam_unix.so
sesiune opțională pam_sss.so
