Lockout temporarii si normele PAM in Oracle Exadata

În acest articol voi vorbi despre PAM ( modulele de autentificare atașabile ) în sistemul operațional Oracle Exadata Linux. Ce este PAM și pentru ce este folosit?   PAM e un mecanism flexibil pentru autentificarea utilizatorilor.   PAM oferă un mod de a dezvolta programe care sunt independente de sistem de autentificare. Aceste programe au nevoie de "modul de autentificare" pentru a fi atașate acestora în timpul execuției pentru a lucra. Care modul de autentificare trebuie să fie atașat depinde de configurarea sistemului local și este la latitudinea administratorului de sistem local. Dar care e legatura lui cu mașină Oracle Exadata?   Fiecare mașină Oracle Exadata vine configurata cu opțiunile pam_tally2 ON, iar ei vor urma cateva reguli care sunt stabilite în fișiere sshd localizate în dosarul /etc/pam.d . În funcție de versiunea pe care Exadata o are ar putea avea o configurație diferită, pentru a vedea versiunea utilizați comanda imageinfo logat ca root : 

[root@exadata-host]# imageinfo

Kernel version: 2.6.39-400.128.17.el5uek #1 SMP Tue May 27 13:20:24 PDT 2014 x86_64
Image version: 11.2.3.3
Pentru a vedea opțiunea pam puteți citi doar fișierele de configurare sshd situate în dosaul /etc/pam.d . 
[root@exadata-host]# cat sshd | grep lock
auth       required     pam_tally2.so deny=5 onerr=fail lock_time=600
Putem vedea că regulă prevede că în cazul în care utilizatorul nu face un logare corecta el va trebui să aștepte timp de 600 de secunde (10 minute) înainte de a putea încerca din nou Login.   Normele PAM au unele dezavantaje ca uneori, când aveți mai mult de un DBA sau administratori care folosesc același cont admin să spunem utilizator oracle care încearca să se conecteze cu parola greșită, veți fi blocat pentru perioada lock_time afirmat în regula.   Să vedem câteva comenzi care ne va permite să modificam sau sa verificam starea de blocare a unui cont de utilizator:
  • Verificați statutul utilizatoruli adrian.oprea 
    • [root@exadata-host]# pam_tally2 -u adrian.oprea
Login           Failures Latest failure     From
root                1    11/11/14 01:11:33  xxx.xxx.xxx.xxx
  • Cum putem face reset de login pentru userul adrian.oprea 
    • [root@exadata-host]# pam_tally2 -u adrian.oprea -r
Login           Failures Latest failure     From
root                1    11/11/14 01:11:33  xxx.xxx.xxx.xxx
    Sper ca acest articol a fost util

    Copyright 2020. All Rights Reserved