Re: faillock ante ataques de fuerza bruta
> El 25 oct 2023, a las 22:46, Listas <debian@jherrero.org> escribió:
>
> El mié, 25-10-2023 a las 22:07 +0200, Roberto Leon Lopez escribió:
>> En Debian 12 está el paquete libpam-modules-bin la utilidad faillock
>> y su módulo pam_faillock.so, al leer su página man no declara ninguna
>> advertencia porque podemos dejar el sistema totalmente bloqueado para
>> acceder con cualquier cuenta y es algo muy normal que pase al colocar
>> las dos siguiente líneas:
>>
>> auth [default=die] pam_faillock.so authfail
>> auth sufficient pam_faillock.so authsucc
>>
>> En /etc/pam.d/login o en /etc/pam.d/common-auth.
>>
>> ¿Me pueden dar alguna recomendación o alternativa al respecto?
>
> Pues en principio solo debería bloquear la cuenta que tuvo los intentos
> de login incorrectos. También, por defecto, esas cuentas se desbloquean
> a los 10 minutos. Mientras se hacen pruebas se puede disminuir ese
> valor en /etc/security/faillock.conf
>
> Un saludo
>
Te explico en más detalle.
En Debian 12 lees la página `man pam_faillock` y te habla del fichero /etc/pam.d/login, aunque en los ejemplos del final es /etc/pam.d/config, donde escribir las siguientes líneas:
auth [default=die] pam_faillock.so authfail
auth sufficient pam_faillock.so authsucc
Pero si vas al fichero /etc/pam.d/login aparecen muchas entradas de tipo service y en medio encuentras:
# Standard Un*x authentication.
@include common-auth
Si pones las dos líneas de pam_faillock antes o después se produce un bloqueo que no deja hacer login ni con root.
Tendría que cambiar el fichero /etc/pam.d/common-auth y asegurarte colocar las líneas de faillock después de:
auth [success=1 default=ignore] pam_unix.so nullok
Y no olvidar que si llamas a pam-auth-update puedes borrar todos los ficheros common-* y vuelve a su estado original.
Lo que más me escama es la situación de bloqueo total del sistema.
Reply to: