El comando faillog formatea y muestra el contenido del registro de fallas (/var/log/faillog ) y mantiene recuentos y límites de errores. La funcionalidad de registro de fallas debe habilitarse agregando pam_tally.so módulo al archivo respectivo en /etc/pam.d/ . A continuación se muestran los pasos para configurar la utilidad de registro de fallas para realizar un seguimiento de los intentos de inicio de sesión fallidos.
1. Edite el /etc/pam.d/system-auth archivo y agregue las siguientes líneas:
# vi /etc/pam.d/system-auth auth required pam_tally.so no_magic_root account required pam_tally.so deny=2 no_magic_root
2. Pruebe la configuración intentando iniciar sesión como un usuario normal, pero usando una contraseña incorrecta. Verifique los incrementos de conteo fallidos ejecutando el comando:
# faillog -u [username]
Por ejemplo,
# faillog Login Failures Maximum Latest On geek 1 2 05/24/17 15:39:35 +0200 /dev/tty2
El comando faillog imprime solo los usuarios que no han iniciado sesión correctamente desde el último error. Para imprimir un usuario que ha tenido un inicio de sesión exitoso desde su última falla, debe solicitar explícitamente al usuario con -u opción.
3. El inicio de sesión fallido se registra en /var/log/faillog en algún formato binario específico de forma predeterminada, y la utilidad faillog solo puede analizar /var/log/faillog para obtener los inicios de sesión fallidos. No tenemos ninguna opción para hacer faillog para leer registros en otros lugares.
4. Para otorgar acceso nuevamente a un usuario que tuvo más fallas que el límite, ingrese:
# faillog -r [user]
También puede usar los comandos pam_tally para hacer lo mismo, para mostrar la cantidad de intentos fallidos:
# pam_tally --user [username]
Y para restablecer la cuenta:
# pam_tally --user [username] --reset[=n]