Sécurité pam_faillock ? lmde7

[super-patate]

Bonjours,
Je souhaite avoir un blocage d'echec de mot de passe, j'ai quelques soucis pour faire fontionner pam_faillock.
Je suis encore novice, l'IA m'aide beaucoup pour comprendre mais aussi à tout casser !! Grub rescue 3 fois de suite...

J'ai trouvé une configuration qui ne casse pas: https://linuxconfig.org/lock-account-af ... ian-ubuntu
donc :

sudo nano /etc/security/faillock.conf
deny = 5
unlock_time = 300
fail_interval = 900

sudo nano /etc/pam.d/common-auth
auth requisite pam_faillock.so preauth silent
auth [success=4 default=ignore] pam_unix.so nullok
auth [default=die] pam_faillock.so authfail
auth sufficient pam_faillock.so authsucc
auth requisite pam_deny.so
auth required pam_permit.so

Cette configuration est la seule qui n'ai pas cassé mon PAM. et elle ne fonctionne PAS.
Y'a t'il un lien avec le fichier /etc/pam.d/login ? (je ne comprend pas ce que je peux faire de l'exemple du manuel)
Est-ce parceque sur recommandation de mistral AI j'ai mis des fonctions "audit" ?
Est-ce à cause de [success=4 default=ignore] que le PAM casse pas ?

Quelqu'un à une piste ? Aucun tutoriel, ce serait bien d'en faire un, à moin que c'est prévu en mode graphique dans les prochaines MAJ

[super-patate]

Pourquoi ça ne fonctionne pas de cette façon ?

Etape1: faire un sudo -i pour garder une session root ouvert en cas de problème. ensuite...
$ sudo nano /etc/pam.d/common-auth /// dans Primary block.

auth required pam_faillock.so preauth silent deny=2 fail_interval=300 unlock_time=600
auth [success=1 default=ignore] pam_unix.so
auth required pam_faillock.so authfail deny=2 fail_interval=300 unlock_time=600

Etape2:
$ sudo nano /etc/pam.d/common-account /// dans le Primary block

account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so
account required pam_faillock.so

-Je verifie si mon user est bloqué.
$ faillock --user (mon-user) ///// pour reset c'est avec le terminal root du sudo -i avec "faillock --reset"
When Type Source Valid
2025-12-26 05:32:07 TTY /dev/pts/1 V
2025-12-26 05:37:50 TTY /dev/pts/3 V

Donc je reste bloqué. cherche des reponse avec GPT jusqu'a ce qu'il me dise:
/etc/pam.d/common-account (ON NETTOIE) Il ne doit PAS y avoir pam_faillock ici.
J'ai tester et pareil, heueusement le sudo -i ... # mes modifications avant d'éteindre.
J'en ai marre, pas la foie de revenir sur Debian apres tous mes reglage pour une vulnerabilité Faillock.

[super-patate]

Résolu, il ne faut pas toucher à common account...

nano /etc/pam.d/common-auth

# here are the per-package modules (the "Primary" block)
auth required pam_faillock.so preauth silent deny=3 unlock_time=600 fail_interval=900
auth [success=1 default=bad] pam_unix.so
auth [default=die] pam_faillock.so authfail deny=3 unlock_time=600 fail_interval=900
auth required pam_ecryptfs.so unwrap (Ici, sinon il faut monter manuellement le HOME)
auth sufficient pam_faillock.so authsucc


nano /etc/security/faillock.conf

deny=3
unlock_time=600
fail_interval=900


Ce serais sympas en interface graphique