Compte vérouillé

Pour enlever le lock suite à plusieurs echecs de connexion à un compte (mauvais mdp) on utilise les commandes faillock, faillog ou pam_tally.

Parfois faillock et faillog ne fonctionnent pas. Dans ce cas, utilisez pam_tally.

Problèmes rencontrés

Sur certains sytèmes la commande faillock n’existe pas mais la commande faillog fait à peu près la même chose :

• faillock : outil d’affichage et de modification des fichiers d’enregistrement des échecs d’authentification
• faillog : affiche les enregistrements des logs d’échecs ou définit les limites d’échec de connexion

Il y a aussi l’utilisation de pam_tally2 qui est possible :

• pam_tally : journalise les tentatives infructueuses

Commandes faillock/faillog/pam_tally

Extrait du manuel :

# faillock [--dir /var/run/faillock] [--user username] [--reset]
# pam_tally [--user username] [--reset]
# faillog [options]

Utilisation des commandes

Les exemples sont avec faillock mais sont similaires si utilisés avec faillog et pam_tally2.

Voir toutes les tentatives échouées d’un utilisateur :

# faillock --user DustinHenderson
DustinHenderson:
When            Type     Source     Valid
Timestamp 1     TTY      /dev/tty1  V
Timestamp 2     TTY      /dev/tty1  V
Timestamp 3     TTY      /dev/tty1  V

Pour suprimer le lock, on utilise --reset

# faillock --user DustinHenderson --reset

Vérification, les entrées sont vides :

# faillock --user DustinHenderson
DustinHenderson:
When            Type     Source     Valid

Fichiers correspondants

Emplacement

Les fichiers pour chaque commande :

• faillock

  • /var/run/faillock/<user_n>
  • /etc/security/faillock.conf

• pam_tally

  • /var/log/tallylog

• faillog

  • /var/log/faillog

Fonctionalités

La commande faillock répertorie dans le dossier /faillock tous les utilisateurs bloqués, supprimer le fichier d’un utilisateur dévérouille le compte.

La commande pam_tally2 n’utilise qu’un seul fichier pour tous les journaux, nous ne pouvons donc pas réinitialiser un seul utilisateur en supprimant le fichier. Le supprimer réinitialiserait toutes les tentatives de connexion.

Fichier de configuration pour faillock

Le fichier de configuration se trouve dans /etc/security/faillock.conf. Ce fichier existe même si la commande faillock n’existe pas.

# cat /etc/security/faillock.conf

# Configuration pour verrouiller l'utilisateur après plusieurs tentatives d'authentification infructueuses

# Les options commentées sont celles par défaut
# ---------------------------------------------------------------------
# dir = /var/run/faillock   // répertoire des logs
# audit                     // log l'utilisateur même s'il n'existe pas dans le système
# silent                    // n'affiche pas les messages informatifs
# no_log_info               // n'affiche pas les messages informatifs via syslog
# local_users_only          // Uniquement les utilisateurs locaux (ignore AD, IdM, LDAP, etc.)
# deny = 3                  // nombre d'essais avant que le compte soit bloqué 
# fail_interval = 900       // temps en seconde où les échecs sont incrémentés
# unlock_time = 600         // temps en seconde où le compte est vérouillé
# even_deny_root            // root peut aussi être bloqué
# root_unlock_time = 900    // temps en seconde où root est vérouillé

# Cette option ci dessous n'est pas appliquée par défaut
# ---------------------------------------------------------------------
# admin_group = <admin_group_name> // les options `even_deny_root` et `root_unlock_time` sont appliqué à ce groupe

Commandes pam_tally2

Parfois faillock et faillog ne fonctionnent pas. Dans ce cas, utilisez pam_tally :

# pam_tally2 --user DustinHenderson --reset
Login             Failures  Latest failure     From
DustinHenderson   3         06/21/22 18:32:37  pts/0

Pour dévérouiller :

# pam_tally2 --user DustinHenderson --reset

Documentation

https://superuser.com/questions/1597162/how-to-unlock-linux-user-after-too-many-failed-login-attempts#
https://linux.die.net/man/8/faillock
https://www.baeldung.com/linux/unlocking-account-failed-attempts