On Tue, 9 Nov 2004, Pablo Silva wrote:
> Habra alguna forma de bloquear una cuenta,
> cuando un usuario trata de acceder 3 veces y no
> acierta con su clave?
Aquí te va una receta algo sacrílega para el bloqueo y para que el sistema
recuerde las últimas cinco claves, pero que me ha permitido salir del
paso más de una vez. Aún estpoy buscando cómo hacerlo más elegante y sin
interferir con los procedimientos normales de la distribución. Estas
indicaciones son para RHEL 3.
Se debe crear y asegurar dos archivos vacíos. Uno para almacenar el
registro de los intentos fallidos de acceso y otro con los hashes de las
contraseñas ya utilizadas.
touch /var/log/faillog
chmod 600 /var/log/faillog
touch /etc/security/opasswd
chmod 600 /etc/security/opasswd
El siguiente es un archivo de ejemplo para configurar la autenticación
global en /etc/pam.d/system-auth (el PAM de RH utiliza stack para llamar
esta configuración desde las de los programas individuales):
------------------------------------------------------------------------------
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required /lib/security/$ISA/pam_tally.so no_magic_root
auth required /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
auth required /lib/security/$ISA/pam_deny.so
account required /lib/security/$ISA/pam_tally.so no_magic_root deny=3
account required /lib/security/$ISA/pam_unix.so
password required /lib/security/$ISA/pam_cracklib.so retry=3 minlen=8
difok=5 difignore=15
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5
shadow remember=5
password required /lib/security/$ISA/pam_deny.so
session required /lib/security/$ISA/pam_limits.so
session required /lib/security/$ISA/pam_unix.so
------------------------------------------------------------------------------
En los sistemas basados en Redhat, el archivo /etc/pam.d/system-auth es
reconstruido cada vez que se ejecuta el programa authconfig(8), por lo
tanto, este archivo debe ser protegido con el comando chattr(1):
chattr +i /etc/pam.d/system-auth
El control de bloqueo de los usuarios se hace a través del comando
pam_tally, el cual tiene la siguiente sintaxis:
pam_tally: [--file rooted-filename] [--user username] [--reset[=n]] \
[--quiet]
Espero ansiosamente cualquier sugerencia.
--
Ariel Martinez.
