Daftar Isi
Pernahkah Anda merasa khawatir jika seseorang mencoba menebak password server Linux Anda berkali-kali? Serangan seperti brute force (menebak sandi secara berulang) adalah salah satu ancaman paling umum pada sistem Linux. Jika tidak dibatasi, akun penting Anda bisa terkunci atau bahkan diretas hanya karena sistem tidak memiliki perlindungan dasar untuk login gagal.
Masalahnya, banyak pengguna pemula tidak tahu bahwa Linux sebenarnya sudah memiliki fitur bawaan untuk mencegah serangan semacam ini, yaitu melalui PAM (Pluggable Authentication Modules). Namun, konfigurasi PAM sering kali terasa rumit — satu kesalahan kecil saja bisa membuat login Anda justru terkunci sendiri!
Tenang saja. Dalam artikel ini, Anda akan belajar cara mengatur batas login gagal di PAM Linux dengan aman dan mudah, langkah demi langkah. Anda juga akan memahami bagaimana sistem bekerja di baliknya serta cara mengembalikannya jika terjadi kesalahan.
Apa Itu PAM dan Mengapa Penting?
PAM (Pluggable Authentication Modules) adalah sistem modular di Linux yang mengatur bagaimana proses autentikasi (login) dilakukan. PAM mengontrol siapa yang boleh masuk, berapa kali boleh gagal login, dan apa tindakan yang dilakukan jika batas itu terlewati.
Dengan mengatur batas login gagal, Anda menambah lapisan keamanan ekstra agar akun root atau pengguna penting tidak bisa diserang secara terus-menerus oleh pihak yang tidak berwenang.
Langkah-langkah Mengatur Batas Login Gagal di PAM Linux
1. Pastikan Modul PAM Tersedia
Linux menggunakan modul pam_faillock atau pam_tally2 (tergantung versi distribusi). Di Rocky Linux, CentOS, atau RHEL versi modern, pam_faillock sudah tersedia secara default.
Untuk memastikan, jalankan:
ls /lib64/security | grep faillockJika muncul file pam_faillock.so, maka modul ini sudah siap digunakan.
2. Edit File Konfigurasi PAM
Untuk mengatur batas login gagal, Anda perlu mengedit file:
sudo nano /etc/security/faillock.confTambahkan atau ubah parameter berikut sesuai kebutuhan:
deny = 3
unlock_time = 600
fail_interval = 900Penjelasannya:
- deny=3 → Jika pengguna gagal login 3 kali, akun akan dikunci.
- unlock_time=600 → Akun akan otomatis terbuka setelah 10 menit (600 detik).
- fail_interval=900 → Sistem menghitung percobaan gagal selama 15 menit terakhir.
3. Pastikan Modul PAM Diaktifkan
Selanjutnya, pastikan modul ini dipanggil oleh sistem autentikasi login. Edit dua file berikut:
File 1: /etc/pam.d/system-auth
Tambahkan baris berikut di atas baris pam_unix.so:
auth required pam_faillock.so preauth audit silent deny=3 unlock_time=600
auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600
account required pam_faillock.soFile 2: /etc/pam.d/password-auth
Tambahkan baris yang sama seperti di atas untuk menjaga konsistensi autentikasi.
💡 Catatan: Pastikan urutan baris tidak terbalik! Letakkan sebelum
pam_unix.soagar aturan login gagal dieksekusi lebih dulu.
4. Uji Konfigurasi Anda
Sekarang saatnya menguji apakah konfigurasi berhasil.
- Logout dari sistem.
- Coba login dengan password yang salah sebanyak 3 kali.
- Coba login kembali dengan password benar.
Jika berhasil, sistem akan menolak login dan menampilkan pesan seperti:
Account locked due to 3 failed login attempts5. Mengecek Status dan Menghapus Kunci Akun
Untuk melihat siapa saja yang sedang terkunci, jalankan:
faillock --user nama_penggunaUntuk membuka kunci akun secara manual:
faillock --user nama_pengguna --reset6. Tips Tambahan Agar Aman
- Gunakan jumlah batas login (deny) yang wajar, misalnya 3–5 kali.
- Jangan atur unlock_time terlalu lama agar tidak mengganggu pengguna sah.
- Jika mengelola banyak pengguna, Anda bisa menggunakan faillock.conf global agar semua akun memiliki aturan yang sama.
- Simpan backup file konfigurasi PAM sebelum mengubahnya, agar mudah dikembalikan jika salah.
Kini Anda telah berhasil mengaktifkan batas login gagal di PAM Linux untuk melindungi sistem Anda dari serangan brute force. Dengan memahami cara kerja modul pam_faillock, Anda sudah selangkah lebih maju dalam memperkuat keamanan server.
Ingin belajar lebih banyak tentang keamanan sistem Linux?
Baca juga: [Meningkatkan Keamanan SSH di Rocky Linux: Panduan Praktis untuk Pemula].
👉 Jika Anda ingin memperdalam, jangan lewatkan artikel terkait lainnya: