Oracle Exadata | Temporary User Lock and PAM rules

Posted on by Juan Andres Mercado in exadata, Linux, Oracle 12c, RAC

Como parte de las políticas de seguridad de Exadata, en varias ocasiones se encontraron  con que el usuario de Sistema Operativo se lockeo ante diferentes intentos de logueo con la contraseña errónea.

Esto ocurre debido a que debido a que cada Oracle Exadata Machine viene configurada con con pam_tally2 en ON mode.

Existen algunas reglas que ya vienen seteadas, y que nos permite, setear en el archivo de configuración de SSHD, localizados en el file

/etc/pam.d folder

Tip: Dependiendo de la image versión del Exadata es posible que nos encontremos con diferentes configuraciones.

Para conocer cual es nuestra Image Version, podemos ejecutar con el usuario root, el siguiente comando:

[root@exa1adbadm02 ~]# imageinfo

Kernel version: 2.6.39-400.128.17.el5uek #1 SMP Tue May 27 13:20:24 PDT 2014 x86_64
Image version: 12.1.1.1.1.140712
Image activated: 2015-06-24 15:56:48 -0300
Image status: success
System partition on device: /dev/mapper/VGExaDb-LVDbSys1

Ahora bien, para conocer como esta configurado nuestras reglas PAM, nos posicionamos en el path /etc/pam.d y ejecutamos el siguiente comando:

[root@exa1adbadm02 ~]# cd /etc/pam.d/

[root@exa1adbadm02 pam.d]# cat sshd | grep lock
auth       required     pam_tally2.so deny=5 onerr=fail lock_time=600

Observamos que se encuentra configurado en 600 segundos, es decir 10 minutos. Ese sera el tiempo que tendremos que esperar para poder hacer el próximo intento de login.

Si ejecutamos pam_tally2, podremos ver todos los usuarios y sus intentos de login fallidos.

[root@exa1adbadm02 pam.d]# pam_tally2
Login           Failures Latest failure     From
oragrid            15    02/02/17 16:51:12  pcfor10206.arca.com.ar
oracle              1    07/26/17 15:50:45  pcvpn02154.arca.com.ar
exfgrande           6    11/07/13 11:18:21  pcfor10210.arca.com.ar

o individualizar cada usuario con el wildcard -u

[root@exa1adbadm02 pam.d]# pam_tally2 -u oracle
Login           Failures Latest failure     From
oracle              1    07/26/17 15:50:45  pcvpn02154.arca.com.ar
[root@exa1adbadm02 pam.d]#

Nuestra recomendación es que existan usuarios individuales de OS y luego puedan por medio de políticas SUDO, convertirse en el usuario Oracle.

Support Note:

Para los que cuentan con la opcion del soporte de oracle, les recomiendo leer la nota:

When Input Wrong Root Password Login Exadata System, We Have To Wait For 10mins ( Doc ID 1541862.1 )

Published by Juan Andres Mercado

MLops & Devops Leader Manager | Innovation & Tech Evangelist| Big Data & ML Enthusiast | Ex-DBA & Exadata Manager | Consultant | Father | Musician | Farmer | Environmentalist Argentina | juanmercadoit.com