Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

faillock ante ataques de fuerza bruta

51 views
Skip to first unread message

Roberto Leon Lopez

unread,
Oct 25, 2023, 4:10:04 PM10/25/23
to
En Debian 12 está el paquete libpam-modules-bin la utilidad faillock y su módulo pam_faillock.so, al leer su página man no declara ninguna advertencia porque podemos dejar el sistema totalmente bloqueado para acceder con cualquier cuenta y es algo muy normal que pase al colocar las dos siguiente líneas:

auth [default=die] pam_faillock.so authfail
auth sufficient pam_faillock.so authsucc

En /etc/pam.d/login o en /etc/pam.d/common-auth.

¿Me pueden dar alguna recomendación o alternativa al respecto?

Listas

unread,
Oct 25, 2023, 4:50:06 PM10/25/23
to
Pues en principio solo debería bloquear la cuenta que tuvo los intentos
de login incorrectos. También, por defecto, esas cuentas se desbloquean
a los 10 minutos. Mientras se hacen pruebas se puede disminuir ese
valor en /etc/security/faillock.conf

Un saludo

Roberto Leon Lopez

unread,
Oct 26, 2023, 3:20:05 AM10/26/23
to
Te explico en más detalle.

En Debian 12 lees la página `man pam_faillock` y te habla del fichero /etc/pam.d/login, aunque en los ejemplos del final es /etc/pam.d/config, donde escribir las siguientes líneas:

auth [default=die] pam_faillock.so authfail
auth sufficient pam_faillock.so authsucc

Pero si vas al fichero /etc/pam.d/login aparecen muchas entradas de tipo service y en medio encuentras:

# Standard Un*x authentication.
@include common-auth

Si pones las dos líneas de pam_faillock antes o después se produce un bloqueo que no deja hacer login ni con root.

Tendría que cambiar el fichero /etc/pam.d/common-auth y asegurarte colocar las líneas de faillock después de:

auth [success=1 default=ignore] pam_unix.so nullok

Y no olvidar que si llamas a pam-auth-update puedes borrar todos los ficheros common-* y vuelve a su estado original.

Lo que más me escama es la situación de bloqueo total del sistema.

Camaleón

unread,
Oct 26, 2023, 4:30:04 AM10/26/23
to
Bueno, para eso sirven los equipos de prueba :-)
Para probar cosas (configuraciones, apliiaciones, etc...) antes de
introducirlas en producción. Las máquinas virtuales vienen muy bien
precisamente para esto.

En cuanto a la pregunta, en principio ese tipo de módulos no debería
afectar al usuario root, salvo configuración expresa (even_deny_root),
en las páginas del manual tendrás más información.

https://manpages.debian.org/bookworm/libpam-modules/pam_faillock.8.en.html
https://manpages.debian.org/bookworm/libpam-modules/faillock.conf.5.en.html

Saludos,

--
Camaleón
0 new messages