Wie setze ich FAIL_DELAY bei PAM?

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
blubber
Posts: 53
Joined: 2004-08-18 14:39

Wie setze ich FAIL_DELAY bei PAM?

Post by blubber » 2006-09-02 14:51

Hallo,

ich wollte die Zeit die man nach einem fehlerhaften Login-Versuch (bei SSH) warten muss hochsetzen. Allerdings bezog sich die einzige Information die ich im Netz finden konnte auf /etc/login.defs auf FAIL_DELAY. Dieses hat bei mir aber keinen Einfluss, da ich PAM verwende.

Also wie kann ich dies bei PAM einstellen?

MfG, Jan

thorsten
RSAC
Posts: 732
Joined: 2003-02-01 13:14
Location: Fuldatal

Re: Wie setze ich FAIL_DELAY bei PAM?

Post by thorsten » 2006-09-03 08:18

Du hast doch schon alle relevanten Stichwörter herausgefunden - der letzte Schritt ist nur noch Google zu füttern, z.B. mit "FAIL_DELAY PAM Howto" und schon siehst du in den 1. 3 Treffern wie es geht.

blubber
Posts: 53
Joined: 2004-08-18 14:39

Re: Wie setze ich FAIL_DELAY bei PAM?

Post by blubber » 2006-09-03 09:25

Nein, leider nicht. Fast alle Treffer führen zu der "Anleitung zum Absichern von Debian" in verschiedenen Versionen und Designs. Im Bereich zu PAM kann ich da aber nichts finden.

Und wenn es so einfach zu finden ist, dürfte es ja wohl auch nicht so schwierig sein, schnell man den Link zu posten.

rootmaster
RSAC
Posts: 536
Joined: 2002-04-28 13:30
Location: Hannover

Re: Wie setze ich FAIL_DELAY bei PAM?

Post by rootmaster » 2006-09-03 14:02

blubber wrote:Hallo,

ich wollte die Zeit die man nach einem fehlerhaften Login-Versuch (bei SSH) warten muss hochsetzen. Allerdings bezog sich die einzige Information die ich im Netz finden konnte auf /etc/login.defs auf FAIL_DELAY. Dieses hat bei mir aber keinen Einfluss, da ich PAM verwende.

Also wie kann ich dies bei PAM einstellen?

MfG, Jan
wird (gerade so) bei ssh nicht funktionieren, wenn du sshd nicht von pam auf login umstellst.

alternativ pam_tally, zB:

Code: Select all

account    required     pam_tally.so onerr=fail deny=5 lock_time=30 unlock_time=3600
nach jedem fehlerhaften einloggen 30s delay, nach 5 fehlerhaften versuchen sperre für 1 std.

"back to the roots"

blubber
Posts: 53
Joined: 2004-08-18 14:39

Re: Wie setze ich FAIL_DELAY bei PAM?

Post by blubber » 2006-09-04 15:00

Danke, das war genau das was ich gesucht hatte. Allerdings muss der Zeilenanfang "auth" und nicht "account" heißen.

rootmaster
RSAC
Posts: 536
Joined: 2002-04-28 13:30
Location: Hannover

Re: Wie setze ich FAIL_DELAY bei PAM?

Post by rootmaster » 2006-09-06 23:12

blubber wrote:Danke, das war genau das was ich gesucht hatte. Allerdings muss der Zeilenanfang "auth" und nicht "account" heißen.
ups, so ist das, wenn man etwas aus dem (alternden) gedächtnis schreibt ;-)

"aber gemeinsam packen wird das"...

best regards