Ubuntu-fr

colinous

Désactiver compte après un nombre de tentatives infructueuses [Résolu]

Bonjour,
Est-il possible de verrouiller des comptes utilisateurs après trois tentatives de connexion et de les déverrouiller en root.
L'utilisation de PAM est-elle une bonne chose?
Existe-t-il un équivalent avec IHM.
Merci.

Dernière modification par colinous (Le 05/07/2011, à 14:15)

colinous

Re : Désactiver compte après un nombre de tentatives infructueuses [Résolu]

Bonjour, j'ai trouvé quelque chose sur "pam_tally" mais je n'arrive pas à le faire fonctionner.
J'édite le fichier /etc/pam.d/login :

#%PAM-1.0
#session  optional       pam_mail.so standard
auth        required      /lib/security/pam_tally.so onerr=fail no_magic_root
auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
auth       include      system-auth
account     required      /lib/security/pam_tally.so deny=3 no_magic_root reset
account    required     pam_nologin.so
account    include      system-auth
password   include      system-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    optional     pam_keyinit.so force revoke
session    required     pam_loginuid.so
session    include      system-auth
session    optional     pam_console.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open

Mais j'arrive toujours à me connecter après trois échecs avec mon user.
Une Idée?

mbtfc

Re : Désactiver compte après un nombre de tentatives infructueuses [Résolu]

Bonjour,

Je viens de regarder les fichiers de conf de fail2ban et il y en a un pour "pam": nano /etc/fail2ban/filter.d/pam-generic.conf ça ne m'étonnerai pas que tu puisse faire quelque chose avec ça (il faut sûrement commenter le fichier de configuration de base qui empêche fail2ban de surveiller locahost).

Tiens moi au courant, ça m'intéresse mais je n'ai pas le temps de m'y atteler pour le moment.

Dernière modification par mbtfc (Le 04/07/2011, à 14:28)

---

http://www.rebootit.fr

redo_fr

Re : Désactiver compte après un nombre de tentatives infructueuses [Résolu]

Salut,

Utilises plutôt pam_tally2, pam_tally est "déprecié" et sera certainement bientôt supprimé

Ta ligne de contrôle doit être dans system-auth et pas dans login. Sinon, les contrôles d'accès se font au niveau de system-auth et ignorent les réglages de login.

[EDIT]
Voici les réglages que j'utilise

auth        required      pam_tally2.so deny=10 lock_time=3 unlock_time=21600

Bloque le compte au bout de 10 tentatives
3 secondes de délai entre chaque tentatives
Déverrouillage automatique du compte au bout de 6 heures

Dernière modification par redo_fr (Le 04/07/2011, à 15:47)

---

Il n'y a pas de mauvais outils, il n'y a que de mauvais ouvriers
- papy -
Personnellement, je crois que faire des procès est un signe que les affaires vont mal. Je ne dis pas que Microsoft va mal, ce n'est qu'un signe, pas un indicateur...
- Linus Torvalds -

colinous

Re : Désactiver compte après un nombre de tentatives infructueuses [Résolu]

Ok,
merci beaucoup, ça marche très bien.
Mais comment faire pour que l'écran de login affiche un message comme quoi l'utilisateur est bloqué?

redo_fr

Re : Désactiver compte après un nombre de tentatives infructueuses [Résolu]

remplace le mot-clé 'required' par "requisite"

---

Il n'y a pas de mauvais outils, il n'y a que de mauvais ouvriers
- papy -
Personnellement, je crois que faire des procès est un signe que les affaires vont mal. Je ne dis pas que Microsoft va mal, ce n'est qu'un signe, pas un indicateur...
- Linus Torvalds -

colinous

Re : Désactiver compte après un nombre de tentatives infructueuses [Résolu]

Merci,
Malheureusement je suis sous CentOS remplacer le mot "required" par "requisite" ne change rien, je vais tester cela ce soir sur Ubuntu.
Encore merci redo_fr

colinous

Re : Désactiver compte après un nombre de tentatives infructueuses [Résolu]

Effectivement, en replaçant "required" par "requisite" sous CentOS, l'utilisateur est rejeté juste en entrant son login.
Avec "required" il devait rentrer son login puis son mot de passe pour être rejeté.
Mais il n'y a pas un message explicite comme quoi l'utilisateur est bloqué.

redo_fr

Re : Désactiver compte après un nombre de tentatives infructueuses [Résolu]

C'est fait exprès

D'après la doc:
"... In the case of failure, it is generally true that the error message displayed to the user will NOT be indicative of the cause of failure. This generic error message approach is a security feature since it limits information that could be used in compromise efforts."

Les messages d'erreur doivent rester génériques afin de ne pas donner d'indications à un éventuel attaquant.

---

Il n'y a pas de mauvais outils, il n'y a que de mauvais ouvriers
- papy -
Personnellement, je crois que faire des procès est un signe que les affaires vont mal. Je ne dis pas que Microsoft va mal, ce n'est qu'un signe, pas un indicateur...
- Linus Torvalds -

colinous

Re : Désactiver compte après un nombre de tentatives infructueuses [Résolu]

Merci redo_fr tu es un Dieu pour moi
Ou Puis-je trouver un "cours" sur pam pour bien comprendre (arborescence des fichiers pam.d, la différence entre auth, passwd, account, l'emploie de required,requisite...)