Temporary Lockout de usuário no Oracle Exadata e regras do PAM

Neste artigo, vou falar sobre o PAM ( módulos de autenticação ) em maquinas Oracle Exadata Linux. Então, o que é PAM e para que ele é utilizado?   Bem como dito antes PAM significa módulos de autenticação e é um mecanismo flexível para autenticação de usuários.   PAM fornece uma maneira de desenvolver programas que são independentes de sistema de autenticação. Esses programas precisam de "módulos de autenticação" para ser anexadas a eles em tempo de execução. Qual módulo de autenticação deve ser anexado depende da configuração do sistema local e fica a critério do administrador do sistema local. Até aí tudo bem, mas o que é tudo isso tem a ver com máquina Oracle Exadata?   A máquina Oracle Exadata vem configurada com as opções pam_tally2 ON, e eles vão seguir algumas regras que são definidas em seus arquivos sshd localizados na pasta /etc/pam.d . Dependendo da versão Imagem Exadata ele pode ter uma configuração diferente, para que você obtenha a versão da Imagem pode usar o comando imageinfo logado como root : 

[root@exadata-host]# imageinfo

Kernel version: 2.6.39-400.128.17.el5uek #1 SMP Tue May 27 13:20:24 PDT 2014 x86_64
Image version: 11.2.3.3
Para ver a opção pam você pode apenas ler os arquivos de configuração de arquivo sshd localizado na sua pasta /etc/pam.d . 
[root@exadata-host]# cat sshd | grep lock
auth       required     pam_tally2.so deny=5 onerr=fail lock_time=600
Podemos ver que a regra estabelece que se o usuário não consegue fazer um log on correto ele vai ter que esperar para 600 segundos (10 minutos), antes que ele pode tentar fazer logon novamente.   Regras PAM têm algumas desvantagens como, por vezes, quando você tem mais de um DBA ou Administradores e eles usam a mesma conta de administrador, digamos o usuário oracle e tente fazer login com a senha errada, você será bloqueado para o período lock_time indicado no a regra.   Vamos ver alguns comandos que nos permitam alterar ou verificar o status do bloqueio de uma conta de usuário:
  • Verifique usuário adrian.oprea status de bloqueio 
    • [root@exadata-host]# pam_tally2 -u adrian.oprea
Login           Failures Latest failure     From
root                1    11/11/14 01:11:33  xxx.xxx.xxx.xxx
  • Redefinição de contagem de logon com falha para o adrian.oprea 
    • [root@exadata-host]# pam_tally2 -u adrian.oprea -r
Login           Failures Latest failure     From
root                1    11/11/14 01:11:33  xxx.xxx.xxx.xxx
    Espero que este artigo foi útil

    Copyright 2020. All Rights Reserved