cerhu > linux.debian.user.french

Florian Blanc (26/03/2019, 12h20)
Après le précédent sujet d'ailleurs,
Je souhaiterais savoir si vous connaissez une solution pour locker le login
prompt système xorg/x11 pendant 5 minutes par exemple.
Je m'explique,
C'est pour éviter une attaque sur machine physique ou via IPMI ou VNC par
exemple.
Merci les coupains.
Erwann Le Bras (27/03/2019, 11h30)
bonjour

Fail2ban banni les utilisateurs selon le temps imparti, après un nombre
d'échecs de connexions défini.

de rien

Le 26/03/2019 à 11:16, Florian Blanc a écrit :
[..]
Florian Blanc (27/03/2019, 12h50)
Erwan comment tu fais ça ?
Un ban iptables ne sert à rien pour une action sur l'affichage.
Je souhaiterais juste désactiver les prompt login sur l'interface ou même
l'interface elle même pendant 5 minutes par exemple. (Je parle de
l'interface à l'écran branché en vga par exemple).
Merci

On Wed, Mar 27, 2019, 10:22 Erwann Le Bras <erwann.le-bras>
wrote:
[..]
Eric Degenetais (27/03/2019, 15h30)
A priori, fail2ban analyse les logs d'authentification, mais les actions
possibles ne se limitent pas à des appels iptable : une action définit
différents scripts appelés en réponse à des évènements (initialisation,
blocage, déblocage, arrêt...).
Il est donc normalement possible de faire toutes sortes d'action en réponse
une tentative de forçage.

Cordialement
______________
Éric Dégenètais
Henix

[..]
[..]

______________
Éric Dégenètais
Henix

[..]
[..]

Le mer. 27 mars 2019 à 11:48, Florian Blanc <florian.blanc.adm> a
écrit :
[..]
Erwann Le Bras (27/03/2019, 16h00)
oui, cest vrai,fail2ban surveille les connexions distantes

c'est PAM qui fait ça. Voir
[..]

Le 27/03/2019 à 11:48, Florian Blanc a écrit :
[..]
Florian Blanc (27/03/2019, 16h50)
Je te remercie beaucoup Erwan ça ira très bien en complémentà fail2ban.
Ça m'a l'air d'être exactement ce que je recherchais.
Je teste ça ce soir merci encore ?

On Wed, Mar 27, 2019, 14:59 Erwann Le Bras <erwann.le-bras>
wrote:
[..]
Florian Blanc (28/03/2019, 16h20)
Bonjour Erwann,
[..]
j'ai pas les mêmes noms de fichiers sur debian stretch alors, je t'avoue
avoir tout de même testé, mais sans succès.
Je ne trouve pas de billets mentionnant ce type de procédés sur debian.
Merci

Le mer. 27 mars 2019 à 15:39, Florian Blanc <florian.blanc.adm> a
écrit :
[..]
Florian Blanc (28/03/2019, 18h30)
Ok pour ceux que ça intéresse, la solution sur debian stretch estla
suivante :
Editer le fichier /etc/pam.d/common-auth et ajouter cette ligne :
auth required pam_tally2.so onerr=fail deny=3
unlock_time=600 audit even_deny_root root_unlock_time=600

comme ceci :
# here are the per-package modules (the "Primary" block)
auth required pam_tally2.so onerr=fail deny=3
unlock_time=600 audit even_deny_root root_unlock_time=600
auth [success=1 default=ignore] pam_unix.so nullok_secure
# here's the fallback if no module succeeds
auth requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth required pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config

that's all merci beaucoup :)

Le jeu. 28 mars 2019 à 15:15, Florian Blanc <florian.blanc.adm> a
écrit :
[..]
Discussions similaires
lock screen

Login screen after upgrade to IE7

Forcer le prompt login/mot de passe sur le partage d'un dossier

prompt de login pass sous ie


Fuseau horaire GMT +2. Il est actuellement 22h35. | Privacy Policy