ฉันมีปัญหาที่ฉันเกือบจะเชื่อมโยงกับวิธีที่ฉันได้กำหนดค่าการล็อกล้มเหลวใน PAM system-auth และ password-auth บนเซิร์ฟเวอร์ RHEL7 บางตัว เราจำเป็นต้องใช้ STIG ดังนั้นฉันจึงต้องใช้การล็อกล้มเหลวกับตัวเลือกเฉพาะที่เกี่ยวข้องกับมัน สำหรับการเข้าถึงของผู้ใช้ทั่วไปผ่าน SSH ทุกอย่างเรียบร้อยดี ปัญหาจะเกิดขึ้นเฉพาะเมื่อเรียกใช้ Nessus/การสแกนช่องโหว่ผ่านชื่อผู้ใช้และรหัสผ่านสำหรับการตรวจสอบสิทธิ์ สิ่งที่แปลกคือฉันสามารถ SSH และรันคำสั่ง sudo ทั้งหมดโดยใช้บัญชีการสแกนเดียวกันได้ และสแกนเนอร์ก็รายงานว่าไม่มีปัญหาในการตรวจสอบสิทธิ์ในตอนแรก อย่างไรก็ตาม ในบางจุด การสแกนพบรหัสผ่านที่ไม่ถูกต้อง 3 ตัวและทริกเกอร์การล็อกล้มเหลวเพื่อป้องกันการเข้าถึง จากบันทึกที่ฉันเห็น ฉันเดาว่ารหัสผ่านล้มเหลวเมื่อมันถูกใช้สำหรับ sudo ซึ่งฉันเชื่อว่าเป็นไฟล์ system-auth ถ้าฉันปล่อยการกำหนดค่าการล็อกล้มเหลวออกจากการตรวจสอบสิทธิ์รหัสผ่านและการตรวจสอบสิทธิ์ระบบ การสแกนก็ดำเนินไปได้ด้วยดี ถ้าฉันใช้บัญชี AD ฉันไม่มีปัญหานี้ แต่ฉันเชื่อว่าเป็นเพราะบัญชี AD ไม่ได้ผูกไว้กับการล็อกเมื่อเกิดข้อผิดพลาดเท่านั้น ปัญหานี้ยังถูกตัดออกหลังจากที่เราผสานรวมเซิร์ฟเวอร์ RHEL7 ของเราเข้ากับ AD ผ่าน sssd แล้ว แต่กระบวนการนั้นจำเป็นต้องเรียกใช้การเปลี่ยนแปลง authconfig บางอย่างด้วย
นี่คือไฟล์ authconfig ที่ฉันใช้อยู่ แต่ฉันได้ลองรูปแบบต่างๆ แล้ว โดยเปลี่ยนตำแหน่งบรรทัด จำนวนบรรทัดที่ต้องข้าม ฯลฯ ทั้งหมดไม่สำเร็จ มันอาจจะเป็นสิ่งที่ชัดเจน แต่ฉันไม่ใช่คนฉลาด
การตรวจสอบสิทธิ์ต้องการ pam_env.so
การตรวจสอบสิทธิ์ต้องการ pam_faildelay.so ล่าช้า=2000000
จำเป็นต้องมีการตรวจสอบสิทธิ์ pam_faillock.so การตรวจสอบสิทธิ์ล่วงหน้าแบบเงียบ even_deny_root Unlock_time=900 fail_interval=900 ปฏิเสธ=3
รับรองความถูกต้อง [สำเร็จ = เสร็จสิ้น authinfo_unavail = ละเว้น เพิกเฉย = ละเว้นค่าเริ่มต้น = ตาย] pam_pkcs11.so nodebug
รับรองความถูกต้อง [default=1 เพิกเฉย=ละเว้นความสำเร็จ=ตกลง] pam_succeed_if.so uid >= 1,000 เงียบ
รับรองความถูกต้อง [ค่าเริ่มต้น=1 ละเว้น=ละเว้นความสำเร็จ=ตกลง] pam_localuser.so
รับรองความถูกต้องเพียงพอ pam_unix.so try_first_pass
การตรวจสอบสิทธิ์ที่จำเป็น pam_succeed_if.so uid >= 1,000 quiet_success
รับรองความถูกต้องเพียงพอ pam_sss.so forward_pass
รับรองความถูกต้อง [default=die] pam_faillock.so การตรวจสอบ authfail ปฏิเสธ=3 even_deny_root fail_interval=900 Unlock_time=900
จำเป็นต้องมีการตรวจสอบสิทธิ์ pam_deny.so
ต้องใช้บัญชี pam_faillock.so
ต้องใช้บัญชี pam_unix.so
บัญชี pam_localuser.so เพียงพอ
บัญชีเพียงพอ pam_succeed_if.so uid < 1,000 เงียบ
บัญชี [default=bad success=ok user_unknown=ignore] pam_sss.so
ต้องใช้บัญชี pam_permit.so
ต้องใช้รหัสผ่าน pam_pwquality.so try_first_pass local_users_only ลองใหม่=3 authtok_type=
รหัสผ่านเพียงพอ pam_unix.so sha512 เงา try_first_pass use_authtok
รหัสผ่านเพียงพอ pam_sss.so use_authtok
ต้องใช้รหัสผ่าน pam_pwhistory.so use_authtok จำ=5 ลองใหม่=3
ต้องใช้รหัสผ่าน pam_deny.so
เซสชั่นทางเลือก pam_keyinit.so ยกเลิก
ต้องการเซสชัน pam_limits.so
- เซสชั่นทางเลือก pam_systemd.so
ตัวเลือกเซสชัน pam_oddjob_mhomedir.so umask=0077
เซสชัน [success=1 default=ignore] บริการ pam_succeed_if.so ใน use_uid ที่เงียบสงบ
ต้องการเซสชัน pam_unix.so
เซสชั่นทางเลือก pam_sss.so
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
