Блокирование неактивных учетных записей: различия между версиями

Библиотеки PAM или PAM модули - это набор компонентов, предоставляющих программный интерфейс для авторизации пользователей в Linux.

PAM lastlog (Блокирование неактивных учетных записей )

PAM-модуль pam_lastlog позволяет блокировать учетные записи, под которыми не заходили в систему N и более дней.

Для включения блокировки по неактивности при входе через графический менеджер входа GDM (используется по умолчанию в ROSA Fresh/Chrome 12+) отредактируйте с правами root файл /etc/pam.d/password-auth:

sudo nano /etc/pam.d/password-auth

Между строками

auth required pam_env.so

и

auth sufficient pam_unix.so try_first_pass nullok

добавьте строку:

auth required pam_lastlog.so inactive=90

Перед строкой

account required pam_unix.so

добавьте строку:

account required pam_lastlog.so inactive=90

В обоих случаях вместо 90 укажите требуемое число N, которое означает: если последний вход пользователя в систему делался более N дней назад, то блокировать вход.

Для блокирования консольного (tty, ssh) входа неактивных пользователей внесите аналогичные правки в файл /etc/pam.d/system-auth:

sudo nano /etc/pam.d/system-auth

Между строками

auth required pam_env.so

и

auth sufficient pam_unix.so try_first_pass likeauth nullok

добавьте строку:

auth required pam_lastlog.so inactive=90

Перед строкой

account required pam_unix.so

добавьте строку:

account required pam_lastlog.so inactive=90

Более подробная информация о настройке PAM-модуля pam_lastlog доступна в pam_lastlog(8):

man pam_lastlog