Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

comment bloquer un utilisateur après 5 mauvais mots de passe ?

sebastien29800

bonjour à tous,

pouvez vous m'aider ?

je souhaite qu'un utilisateur soit bloqué pendant 3 heures s'il rentre 3 fois un mauvais mot de passe en se logant à son compte ?

merci à tous

maxire

Bonjour,

Je n'ai pas de réponse à cette question mais comme ce sujet m'intéresse je m'incruste dans cette discussion afin de mieux la suivre.

jplemoine

Je pense que c'est un boulot pour fal2ban --> si c'est en ssh, c'est sûr que ça fonctionne.
Si c'est en local, je pense qu'il faudra modifier les option par défaut.

maxire

@jplemoine, les options de quoi?
Je me demande si il n'est pas possible de passer par un ou des modules PAM.
Je chercherais de ce côté personnellement pour un blocage en local et à fortiori en connexion distante.

jplemoine

Attention : j'ai peut-être répondu trop vite !!!
fail2ban --> bloque l'adresse IP qui émet : ça ne fonctionne donc pas en local : on ne pourrais plus s'y connecter.
En local, je ne sais pas

MicP

Bonjour

Manque de précision dans la question en ce qui concerne "… en se logant à son compte…"

Avant, je prenais le temps de le faire, mais au bout d'un moment, je commence à fatiguer => j'ai la flemme de lister toutes les méthodes utilisables pour se logger à un compte utilisateur pour chaque système d'authentification (et je ne les connais pas tous)

Très souvent, la réponse est trouvée rien qu'en définissant précisément la question.

maxire

Idéalement je pense qu'il faudrait passer par un module PAM gérant un compteur de tentatives de connexion avortées successivement avec un verrouillage de l'utilisateur au bout de n tentatives.
Ce module PAM recevrait en paramètre le nombre maxi de tentatives autorisées.
Verrouillage équivalent à:

passwd --expire user
passwd --inactive "délai d'inactivité en jours"  user

Facile à décrire, moins facile à transformer en un programme, je n'en ai pas la compétence (du moins pour coder en langage C).

maxire

Bof, en testant ce que je propose l'écran de connexion de Lightdm devient un peu fou en cas de demande de réinitialisation d'un mot de passe, par contre en mode console pas de problème.
Lightdm reste toujours léger plutôt bas de gamme...
Ce que demande sebastien29800 est certainement possible mais demande un peu de travail, disons une analyse technique.

maxire

OK, c'est bien comme je le pensais, il existe un module PAM nommé pam_tally2 qui devrait pouvoir faire le job.
Je vous mets sa page man:
man pam_tally2

sebastien29800

MicP a écritBonjour

Manque de précision dans la question en ce qui concerne "… en se logant à son compte…"

Avant, je prenais le temps de le faire, mais au bout d'un moment, je commence à fatiguer => j'ai la flemme de lister toutes les méthodes utilisables pour se logger à un compte utilisateur pour chaque système d'authentification (et je ne les connais pas tous)

Très souvent, la réponse est trouvée rien qu'en définissant précisément la question.

bonjour, oui en effet, cela reste un peu flou. désolé....
je suis sous ubuntu 16.04 avec KDE

je souhaite que l'utilisateur qui se trompe 10 fois en saisissant son mot de passe dans la fenêtre de connexion au bureau soit bloqué.

merci

MicP

Bonsoir

Pour bloquer l'utilisateur qui aurait tenté 10 fois d'entrer un mot de passe incorrect,
il faut modifier le fichier /etc/pam.d/common-auth en y ajoutant, juste après les premiers commentaires,
la ligne suivante :

auth  required  pam_tally2.so deny=10

michel@ubu:~$ cat /etc/pam.d/common-auth
#
# /etc/pam.d/common-auth - authentication settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.).  The default is to use the
# traditional Unix authentication mechanisms.
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules.  See
# pam-auth-update(8) for details.

# Bloquer l'accès à l'utilisteur qui aurait entré 10 fois un mot de passe incorrect
# Pour débloquer l'utilisateur toto :  sudo pam_tally2 --user toto --reset
auth  required  pam_tally2.so deny=10

# here are the per-package modules (the "Primary" block)
auth	[success=1 default=ignore]	pam_unix.so nullok_secure
# here's the fallback if no module succeeds
auth	requisite			pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth	required			pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config

michel@ubu:~$

Ce qui, au 11ème mot de passe incorrect entré,
va donner :

=======
Pour savoir où en est l'utilisateur toto :

michel@ubu:~$ sudo pam_tally2 --user toto
Login           Failures Latest failure     From
toto               11    03/26/17 23:53:42  :1
michel@ubu:~$

Pour débloquer l'utilisateur toto :

michel@ubu:~$ sudo pam_tally2 --user toto --reset
Login           Failures Latest failure     From
toto               11    03/26/17 23:53:42  :1
michel@ubu:~$

On peut vérifier :

michel@ubu:~$ sudo pam_tally2 --user toto
Login           Failures Latest failure     From
toto                0    
michel@ubu:~$

=======
Voir :

man pam_tally2

=======
NOTES :
Comme ubuntu utilise un compte root sans mot de passe,
il faudra faire attention à ne pas avoir tous les comptes utilisateurs bloqués
surtout les comptes ayant accès à root par sudo,
sinon, il risque d'être difficile d'avoir accès au système.

sebastien29800

bonjour,

merci pour ces réponses.

un point me turlupine ! :

dans le cas d'un SUDO de "base", le mot de passe utilisateur de "Tartempion" et le même que pour "su".
si l'utilisateur "Tartempion" est bloqué pour cause de suite de mauvais mots de passe, "su" pourra t il le débloquer ? (en considérant que à l'origine, seul "Tartempion" a les droits admin.)

merci

MicP

Voir la NOTE dans mon précédent message.

En la reformulant un peu :
Pour débloquer un compte il faut utiliser les privilèges du compte root
Pour obtenir les privilèges du compte root, il faut avoir ouvert une session et y être connecté
Pour ouvrir une session il ne faut pas que le compte soit bloqué.

sebastien29800

merci,

je comprends donc que : si il n'y a qu'un seul compte utilisateur (Z) qui a les droits admin via sudo et que ce dernier est bloqué, on ne pourra pas le débloquer en utilisant 'su'

cependant, on peut créer un compte "admin" avec un mot de passe et là, il pourra débloquer l'utilisateur (Z) ?

MicP

Si un mot de passe a été donné au compte root
il sera possible d'ouvrir une console en mode texte
et d'ouvrir une session en mode texte en s'identifiant avec le compte root
et donc il sera possible
- de remettre à zéro le compteur de mot de passes incorrects d'un utilisateur
- et/ou de modifier le fichier /etc/pam.d/common-auth

sebastien29800

ok merci beaucoup pour ces explications

si on désire uniquement garder un compte utilisateur sans activer *ROOT, pourra t on avec un livecd modifier /etc/pam.d/common-auth ?
que doit on changer dans ce fichier pour débloquer l'utilsateur ? mettre 20 au lieu de 10 pour lui redonner 10 chances supplémentaires ?

MicP

Depuis un autre système (live ou autre)
si on a le droit d'écriture sur le système de fichiers contenant /etc/pam.d/common-auth
on pourra commenter la ligne :

auth  required  pam_tally2.so deny=10

en rajoutant un caractère # en premier caractère de cette ligne.
ce qui donnera :

# auth  required  pam_tally2.so deny=10

et ce qui permettra de se connecter au système ubuntu quand on le démarrera après modification,
et si on est connecté avec un compte qui permet d'utiliser sudo,
on pourra remettre à 0 le compteur de mots de passe d'un utilisateur.
avec, par exemple :

sudo pam_tally2 --user toto --reset

Mais changer la valeur du nombre de mots de passes incorrects maximum dans le fichier /etc/pam.d/common-auth
ne remetra pas à zéro les compteurs du nombre mots de passes incorrects déjà entrés par utilisateur.

sebastien29800

ok, sais tu où est stocké le compteur des mauvais mots de passe ?

MicP

[code a écritman pam_tally2[/code]]

…
           file=/path/to/counter
               File where to keep counts. Default is /var/log/tallylog.
…

Mais je ne connais pas le format de ce fichier.

sebastien29800

ok merci beaucoup pour tout!! 🙂

Page suivante »