Bloqueo de Acceso despues de n intentos de acceso

Ariel Martinez ariel en muiscas.udea.edu.co
Mie Nov 10 22:51:55 CLST 2004 

On Tue, 9 Nov 2004, Pablo Silva wrote:

>       Habra alguna forma de bloquear una cuenta,
> cuando un usuario trata de acceder 3 veces y no
> acierta con su clave?

Aquí te va una receta algo sacrílega para el bloqueo y para que el sistema 
recuerde las últimas cinco claves, pero que me ha permitido salir del
paso más de una vez.  Aún estpoy buscando cómo hacerlo más elegante y sin
interferir con los procedimientos normales de la distribución.  Estas
indicaciones son para RHEL 3.

Se debe crear y asegurar dos archivos vacíos. Uno para almacenar el 
registro de los intentos fallidos de acceso y otro con los hashes de las 
contraseñas ya utilizadas.
 	touch /var/log/faillog
 	chmod 600 /var/log/faillog
 	touch /etc/security/opasswd
 	chmod 600 /etc/security/opasswd

El siguiente es un archivo de ejemplo para configurar la autenticación 
global en /etc/pam.d/system-auth (el PAM de RH utiliza stack para llamar 
esta configuración desde las de los programas individuales):

------------------------------------------------------------------------------
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/$ISA/pam_tally.so no_magic_root
auth        required      /lib/security/$ISA/pam_env.so
auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok
auth        required      /lib/security/$ISA/pam_deny.so

account     required      /lib/security/$ISA/pam_tally.so no_magic_root deny=3
account     required      /lib/security/$ISA/pam_unix.so

password    required      /lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 difok=5 difignore=15
password    sufficient    /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow remember=5
password    required      /lib/security/$ISA/pam_deny.so

session     required      /lib/security/$ISA/pam_limits.so
session     required      /lib/security/$ISA/pam_unix.so

------------------------------------------------------------------------------

En los sistemas basados en Redhat, el archivo /etc/pam.d/system-auth es 
reconstruido cada vez que se ejecuta el programa authconfig(8), por lo 
tanto, este archivo debe ser protegido con el comando chattr(1):

	chattr +i /etc/pam.d/system-auth

El control de bloqueo de los usuarios se hace a través del comando 
pam_tally, el cual tiene la siguiente sintaxis:

pam_tally: [--file rooted-filename] [--user username] [--reset[=n]] \
           [--quiet]

Espero ansiosamente cualquier sugerencia.

-- 
Ariel Martinez.

Más información sobre la lista de distribución Linux