1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.SPANISH

  • faillock ante ataques de fuerza bruta

    From Roberto Leon Lopez@21:1/5 to All on Wed Oct 25 22:10:01 2023
    En Debian 12 está el paquete libpam-modules-bin la utilidad faillock y su módulo pam_faillock.so, al leer su página man no declara ninguna advertencia porque podemos dejar el sistema totalmente bloqueado para acceder con cualquier cuenta y es algo muy
    normal que pase al colocar las dos siguiente líneas:

    auth [default=die] pam_faillock.so authfail
    auth sufficient pam_faillock.so authsucc

    En /etc/pam.d/login o en /etc/pam.d/common-auth.

    ¿Me pueden dar alguna recomendación o alternativa al respecto?

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Listas@21:1/5 to All on Wed Oct 25 22:50:03 2023
    El mié, 25-10-2023 a las 22:07 +0200, Roberto Leon Lopez escribió:
    En Debian 12 está el paquete libpam-modules-bin la utilidad faillock
    y su módulo pam_faillock.so, al leer su página man no declara ninguna advertencia porque podemos dejar el sistema totalmente bloqueado para
    acceder con cualquier cuenta y es algo muy normal que pase al colocar
    las dos siguiente líneas:

    auth     [default=die]  pam_faillock.so authfail
    auth     sufficient     pam_faillock.so authsucc

    En /etc/pam.d/login o en /etc/pam.d/common-auth.

    ¿Me pueden dar alguna recomendación o alternativa al respecto?

    Pues en principio solo debería bloquear la cuenta que tuvo los intentos
    de login incorrectos. También, por defecto, esas cuentas se desbloquean
    a los 10 minutos. Mientras se hacen pruebas se puede disminuir ese
    valor en /etc/security/faillock.conf

    Un saludo

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Roberto Leon Lopez@21:1/5 to All on Thu Oct 26 09:20:01 2023
    El 25 oct 2023, a las 22:46, Listas <debian@jherrero.org> escribió:

    El mié, 25-10-2023 a las 22:07 +0200, Roberto Leon Lopez escribió:
    En Debian 12 está el paquete libpam-modules-bin la utilidad faillock
    y su módulo pam_faillock.so, al leer su página man no declara ninguna
    advertencia porque podemos dejar el sistema totalmente bloqueado para
    acceder con cualquier cuenta y es algo muy normal que pase al colocar
    las dos siguiente líneas:

    auth [default=die] pam_faillock.so authfail
    auth sufficient pam_faillock.so authsucc

    En /etc/pam.d/login o en /etc/pam.d/common-auth.

    ¿Me pueden dar alguna recomendación o alternativa al respecto?

    Pues en principio solo debería bloquear la cuenta que tuvo los intentos
    de login incorrectos. También, por defecto, esas cuentas se desbloquean
    a los 10 minutos. Mientras se hacen pruebas se puede disminuir ese
    valor en /etc/security/faillock.conf

    Un saludo

    Te explico en más detalle.

    En Debian 12 lees la página `man pam_faillock` y te habla del fichero /etc/pam.d/login, aunque en los ejemplos del final es /etc/pam.d/config, donde escribir las siguientes líneas:

    auth [default=die] pam_faillock.so authfail
    auth sufficient pam_faillock.so authsucc

    Pero si vas al fichero /etc/pam.d/login aparecen muchas entradas de tipo service y en medio encuentras:

    # Standard Un*x authentication.
    @include common-auth

    Si pones las dos líneas de pam_faillock antes o después se produce un bloqueo que no deja hacer login ni con root.

    Tendría que cambiar el fichero /etc/pam.d/common-auth y asegurarte colocar las líneas de faillock después de:

    auth [success=1 default=ignore] pam_unix.so nullok

    Y no olvidar que si llamas a pam-auth-update puedes borrar todos los ficheros common-* y vuelve a su estado original.

    Lo que más me escama es la situación de bloqueo total del sistema.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?utf-8?B?Q2FtYWxlw7Nu?=@21:1/5 to All on Thu Oct 26 10:30:01 2023
    El 2023-10-25 a las 22:07 +0200, Roberto Leon Lopez escribió:

    En Debian 12 está el paquete libpam-modules-bin la utilidad faillock y su módulo pam_faillock.so, al leer su página man no declara ninguna advertencia porque podemos dejar el sistema totalmente bloqueado para acceder con cualquier cuenta y es algo
    muy normal que pase al colocar las dos siguiente líneas:

    auth [default=die] pam_faillock.so authfail
    auth sufficient pam_faillock.so authsucc

    En /etc/pam.d/login o en /etc/pam.d/common-auth.

    ¿Me pueden dar alguna recomendación o alternativa al respecto?

    Bueno, para eso sirven los equipos de prueba :-)
    Para probar cosas (configuraciones, apliiaciones, etc...) antes de introducirlas en producción. Las máquinas virtuales vienen muy bien precisamente para esto.

    En cuanto a la pregunta, en principio ese tipo de módulos no debería
    afectar al usuario root, salvo configuración expresa (even_deny_root),
    en las páginas del manual tendrás más información.

    https://manpages.debian.org/bookworm/libpam-modules/pam_faillock.8.en.html https://manpages.debian.org/bookworm/libpam-modules/faillock.conf.5.en.html

    Saludos,

    --
    Camaleón

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)