暗号化されたハードドライブを持つことをお勧めしますが、誰かがあなたのラップトップを盗んでいても電源を切らない可能性があります。電源が入っている間に盗まれた可能性が高いです。したがって、暗号化されたハードドライブは現在ロック解除されていないため、セキュリティはまったく改善されません。
それだけです。このブログ投稿Debian の問題と設定について説明しました。
したがって、無効なユーザーロック解除パスワードを入力した場合(たとえば、4回)、デバイスの電源を切るのは良い解決策かもしれません。
しかし、私のシステムで、またはを見つけるのに苦労していますcommon-auth
。 (Fedora)そしてこの記事は少し古いかもしれませんし、最善の解決策ではないかもしれません。ここで既に質問した内容が見つからなかったので質問するのがいいと思いました。common-account
/etc/pam.d
したがって、一般的に:x番目のパスワードを誤って入力した後に自動シャットダウンを設定するには?
これはセキュリティ要件なので、シャットダウンを取り消すことはできません。また、各ユーザーを3人で計算することはお勧めできません。実際、攻撃者が最初にログインを試みるために他のユーザーに切り替えることができないようにグローバルカウンタを持つ方が良いでしょう。
クロスパブリッシュFedoraについて質問する。
ベストアンサー1
2023年のソリューションはUbuntuで実行されます。pam_faillock(pam_tally2は廃止予定です):
気をつけて、自分を閉じ込める:pamファイルを編集するとすぐに適用され、その過程で認証が何度も中断される可能性があります。これが満足できない場合は続けないでください。多くの問題を減らすことができるいくつかのこと。
- root ttyで辞書を開いて辞書にログインする(
ctrl + alt + f3
) - ファイルを編集する前にバックアップしてください(例
cp /etc/pam.d/common-auth ~/common-auth.bak
:)。 - ライブブートUSBキーを準備する
存在する/etc/pam.d/common-auth
:
# here are the per-package modules (the "Primary" block)
auth [success=1 new_authtok_reqd=ok ignore=ignore default=bad] pam_faillock.so deny=3 even_deny_root unlock_time=10
auth required pam_exec.so /usr/sbin/poweroff
auth [success=3 default=ignore] pam_unix.so nullok
auth [success=2 default=ignore] pam_sss.so use_first_pass
# here's the fallback if no module succeeds
auth [default=die] pam_faillock.so authfail
auth requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth required pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth optional pam_cap.so
# end of pam-auth-update config
auth sufficient pam_faillock.so authsucc
上海:
最初に知っておくべきことは、これが何をsuccess=n
意味するのかですskip the next n lines if the current line succeeds
。これは、エラーロック条件が満たされた場合にのみ停電をトリガーするだけでなく、エラーロックがログイン試行の失敗または成功を登録する必要がある時期を決定するためにも使用されます。
次の2行は、3回の試行失敗後にシャットダウンをトリガーします。
auth [success=1 new_authtok_reqd=ok ignore=ignore default=bad] pam_faillock.so deny=3 even_deny_root unlock_time=10
auth required pam_exec.so /usr/sbin/poweroff
次に、既存のubuntu認証ロジックを別々にインポートし、既存のsuccess=3
pam_denysuccess=2
コンテンツとpam_faillockの新しい行をスキップするように編集します。
auth [success=3 default=ignore] pam_unix.so nullok
auth [success=2 default=ignore] pam_sss.so use_first_pass
次に、pam_faillockに失敗したログイン試行を登録するように指示するこの行があります。以前のpam_unixロジックが通過すると、この行はスキップされます。
auth [default=die] pam_faillock.so authfail
最後に、ログイン試行を失敗としてマークする設定がない場合、pam_faillock に成功したログイン試行を登録するように指示します。これは重要です。それ以外の場合、pam_faillockはリセットされません。
auth sufficient pam_faillock.so authsucc
注意事項私は愚かな奴なので、塩一粒で説明を聞いてください。しかし、私の設定ではうまくいきます。