У меня есть файл, /etc/pam.d/password-authкоторый говорит это (частично). Я добавил номера строк, которых нет в исходном файле.
1 auth required pam_env.so 2 auth required pam_faillock.so preauth audit silent deny=5 unlock_time=900 3 auth [success=1 default=bad] pam_unix.so 4 auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900 5 auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=900 6 auth required pam_deny.so Я не понимаю, что делает строка 2. Остальные строки я понимаю:
Какова цель строки 2? Ни одно из моих испытаний не показало какой-либо конкретной причины иметь это или не иметь его. На странице руководства написано:
Модуль просто проверяет, должен ли пользователь быть заблокирован от доступа к службе, если в последнее время было аномальное количество неудачных последовательных попыток аутентификации.
Я думал что это значит
Проверьте, не заблокирован ли аккаунт. Если учетная запись заблокирована, то не имеет значения, какой пароль введен, мы отклоним попытку входа.
... но это не так. Насколько я могу судить, authfailлиния фактически блокирует учетную запись, и учетная запись не может войти в систему с или без preauthлинии.
Так что (если вообще что-то) делает на самом деле?
Согласно справочной страницеpreauth линии
необязательно, если используется authsucc .
Если вы посмотрите на примеры на странице руководства, preauth может использоваться для отображения информации о том, что учетная запись заблокирована (без вывода сообщений), или если вы измените ее на требуемую, это предотвратит запрос пароля для заблокированной учетной записи.