Re: Lock login prompt screen

[Florian Blanc <florian.blanc.adm@gmail.com>]

Ok pour ceux que ça intéresse, la solution sur debian stretch est la suivante :

Editer le fichier /etc/pam.d/common-auth et ajouter cette ligne :

auth    required                        pam_tally2.so _onerr_=fail deny=3 unlock_time=600 audit even_deny_root root_unlock_time=600

comme ceci :

# here are the per-package modules (the "Primary" block)
auth    required                        pam_tally2.so _onerr_=fail deny=3 unlock_time=600 audit even_deny_root root_unlock_time=600
auth    [success=1 default=ignore]      pam_unix.so nullok_secure
# here's the fallback if no module succeeds
auth    requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth    required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config

that's all merci beaucoup :)

Le jeu. 28 mars 2019 à 15:15, Florian Blanc <florian.blanc.adm@gmail.com> a écrit :

Bonjour Erwann,

https://www.tecmint.com/lock-user-accounts-after-failed-login-attempts-in-linux/

j'ai pas les mêmes noms de fichiers sur debian stretch alors, je t'avoue avoir tout de même testé, mais sans succès.

Je ne trouve pas de billets mentionnant ce type de procédés sur debian.

Merci

Le mer. 27 mars 2019 à 15:39, Florian Blanc <florian.blanc.adm@gmail.com> a écrit :

Je te remercie beaucoup Erwan ça ira très bien en complément à fail2ban.

Ça m'a l'air d'être exactement ce que je recherchais.

Je teste ça ce soir merci encore 🙏

On Wed, Mar 27, 2019, 14:59 Erwann Le Bras <erwann.le-bras@laposte.net> wrote:

oui, cest vrai,fail2ban surveille les connexions distantes

c'est PAM qui fait ça. Voir https://www.tecmint.com/lock-user-accounts-after-failed-login-attempts-in-linux/

Le 27/03/2019 à 11:48, Florian Blanc a écrit :

Erwan comment tu fais ça ?

Un ban iptables ne sert à rien pour une action sur l'affichage.

Je souhaiterais juste désactiver les prompt login sur l'interface ou même l'interface elle même pendant 5 minutes par exemple. (Je parle de l'interface à l'écran branché en vga par exemple). 

Merci 

On Wed, Mar 27, 2019, 10:22 Erwann Le Bras <erwann.le-bras@laposte.net> wrote:

bonjour

Fail2ban banni les utilisateurs selon le temps imparti, après un nombre
d'échecs de connexions défini.

de rien

Le 26/03/2019 à 11:16, Florian Blanc a écrit :
> Après le précédent sujet d'ailleurs,
> Je souhaiterais savoir si vous connaissez une solution pour locker le
> login prompt système xorg/x11 pendant 5 minutes par exemple.
> Je m'explique,
> C'est pour éviter une attaque sur machine physique ou via IPMI ou VNC
> par exemple.
> Merci les coupains.