CentOS如何使用PAM鎖定多次登陸失敗的用戶

這篇文章主要介紹了CentOS如何使用PAM鎖定多次登陸失敗的用戶，具有一定借鑒價值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

Linux有一個pam_tally2.so的PAM模塊，來限定用戶的登錄失敗次數，如果次數達到設置的閾值，則鎖定用戶。

編譯PAM的配置文件

# vim /etc/pam.d/login

#%PAM-1.0 
auth      required  pam_tally2.so   deny=3lock_time=300 even_deny_root root_unlock_time=10
auth [user_unknown=ignoresuccess=okignoreignore=ignore default=bad] pam_securetty.so 
auth       include      system-auth 
account    required     pam_nologin.so 
account    include      system-auth 
password   include      system-auth 
# pam_selinux.so close should be the first session rule 
session    required     pam_selinux.so close 
session    optional     pam_keyinit.so force revoke 
session    required     pam_loginuid.so 
session    include      system-auth 
session    optional     pam_console.so 
# pam_selinux.so open should only be followed by sessions to be executed in the user context 
session    required     pam_selinux.so open

各參數解釋

even_deny_root    也限制root用戶； 
deny           設置普通用戶和root用戶連續錯誤登陸的最大次數，超過最大次數，則鎖定該用戶 
unlock_time        設定普通用戶鎖定后，多少時間后解鎖，單位是秒； 
root_unlock_time      設定root用戶鎖定后，多少時間后解鎖，單位是秒； 
此處使用的是 pam_tally2 模塊，如果不支持 pam_tally2 可以使用 pam_tally 模塊。另外，不同的pam版本，設置可能有所不同，具體使用方法，可以參照相關模塊的使用規則。

在#%PAM-1.0的下面，即第二行，添加內容，一定要寫在前面，如果寫在后面，雖然用戶被鎖定，但是只要用戶輸入正確的密碼，還是可以登錄的！

最終效果如下圖

這個只是限制了用戶從tty登錄，而沒有限制遠程登錄，如果想限制遠程登錄，需要改SSHD文件

# vim /etc/pam.d/sshd

#%PAM-1.0 
auth          required        pam_tally2.so        deny=3unlock_time=300 even_deny_root root_unlock_time=10
auth       include      system-auth 
account    required     pam_nologin.so 
account    include      system-auth 
password   include      system-auth 
session    optional     pam_keyinit.so force revoke 
session    include      system-auth 
session    required     pam_loginuid.so

同樣是增加在第2行！

查看用戶登錄失敗的次數

[root@node100 pam.d]# pam_tally2 --user redhat 
Login           Failures Latest failure     From 
redhat              7    07/16/12 15:18:22  tty1

解鎖指定用戶

[root@node100 pam.d]# pam_tally2 -r -u redhat 
Login           Failures Latest failure     From 
redhat              7    07/16/12 15:18:22  tty1

這個遠程ssh的時候，沒有提示，我用的是Xshell，不知道其它終端有沒提示，只要超過設定的值，輸入正確的密碼也是登陸不了的！

感謝你能夠認真閱讀完這篇文章，希望小編分享的“CentOS如何使用PAM鎖定多次登陸失敗的用戶”這篇文章對大家有幫助，同時也希望大家多多支持億速云，關注億速云行業資訊頻道，更多相關知識等著你來學習!