|
|
pam# V& e& s) A% t8 B; o3 U$ w
1.进入/etc/pam.d/password-auth 文件
8 }- } K0 L, \# Q9 @* k$ y2.添加配置,以这条配置为例.我在这里只设置错误三次锁定当前用户(不包括root),锁定时间为60秒* o }- |( Q5 t* f
% ]+ q' }+ Y$ t* {- l. iauth required pam_tally2.so file=/var/log/tallylog deny=3 unlock_time=605 b, U# ~+ S( q( @( P- n( A4 @
account required pam_tally2.so3 r! b9 |: l% S) _! ~7 `; k, r8 g
( K o& c3 m: }1 ], x7 l) l或者source /etc/pam.d/password-auth文件也能解决4 A$ |/ _4 Q& P F D8 Z
参数 作用
# x$ V2 A2 Y/ J# y1 w# A" D' Deven_deny_root 限制root用户
! [8 O- h8 V8 G8 {+ jdeny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户4 M( R! N, {' N- V
unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒
3 m6 i4 v) i, n: X, o _+ q% }$ _root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒- U( i% U' l% c1 m
3.查看解除锁定(以test为例):4 K: C, v; r I9 a" W+ ?
7 G2 L: c3 {# d: `, W& C(1)查看错误登录次数
* k5 G$ e" T4 E$ M, q5 X
1 y {7 }' j" y# ?) x- I9 apam_tally --user=用户名
" Z+ C" _! _7 T: \, O7 _9 g2 E _, l8 n" m# m9 t
3 g8 B& p z2 r例如,查看test用户的错误登陆次数:% P9 c' u* W Q! D
: d+ e/ T7 ]0 P[root@localhost ~]# pam_tally2 --user=test 0 ^2 ]6 l9 f9 o* m. `
Login Failures Latest failure From% Y, F" {3 }- G8 q ]6 K/ U! {
test 0
: P! ]9 X, F% X& I5 T1 ~3 P
3 T U. T! ?; R3 Y9 W
e$ \- {6 [5 U7 z" G(2)清空某一用户错误登陆次数:
* _: q: v1 w% a& \3 e0 Z' y! ~0 r0 }( e" U, t
pam_tally --user=用户名 --reset# D) [5 u; O* Z6 p0 u
1
B; G1 p& q% H8 q8 Z+ F例如,清空 test用户的错误登陆次数,
' K2 `; e" T+ }+ P& ?. b. e7 }) R- C7 r
[root@localhost ~]# pam_tally2 --user=test --reset
' ^ Y7 j! c' ~! qLogin Failures Latest failure From: q+ U9 [% c3 c& `7 ^1 T
test 19 06/21/20 22:17:30 192.168.61.1$ l4 d8 A- M0 i, p% J
[root@localhost ~]# pam_tally2 --user=test - A$ Q5 |$ h3 j( |; _" `& k. y
Login Failures Latest failure From P" t9 N7 x2 O* C
test 0
. ]) k3 ~: M4 }7 F+ d0 I9 p n& m: d" _& T# \2 u u
5 S4 e2 [/ W& R; `- P5 H: Dpam_faillock2 t9 k4 Y- E! P. @8 c8 X$ m9 D
在8版本中移除了pam_tally2.so这个模块,所以在8版本中我们需要用pam_faillock 来做用户登录失败的限制。 X. N3 G/ F1 F6 Y- |7 F. g5 d* E
修改配置的位置不变还是password-auth文件
& [1 x# h8 @5 d. j9 m1.进入/etc/pam.d/password-auth 文件7 I# G/ D6 q1 X) m# \* T
2.添加以下配置& C! c) P" o D3 @8 _
配置的内容含义基本与pam_tally2.so相同,可根据自己的需要进行配置
3 [7 }1 `! E% Y5 v" A5 a% t
I6 ?$ X% e9 M2 E' g' gauth required pam_faillock.so preauth silent audit deny=3 unlock_time=6000 e: F# u( G/ G! b. |- G0 j8 ^
auth sufficient pam_unix.so nullok try_first_pass" M3 A: G7 l' L N
auth [default=die] pam_faillock.so authfail audit deny=3- K- b3 J4 Q; d4 L. W2 H
account required pam_faillock.so
2 j" h3 }$ M r( ^1 E2 W' Q, N6 N
K" I+ h2 n0 o; }+ O) Ffaillock 命令' b; k H4 R! |) z$ a4 H `/ U
查看失败计数
% K* }4 Z* ~6 ?5 G9 ifaillock --user username7 x5 m: @2 Z( T1 w" _3 H
# `6 d. N$ `+ }! C" B
[root@et8en ~]# faillock --user test
@" X3 r# B* H; K0 g' htest:) f1 U& ^$ X; v
When Type Source Valid
5 q, Z+ T+ M; B4 r3 D4 }2020-06-23 07:27:14 RHOST 192.168.61.1 V% t) C. D3 |, g: ~4 L" p
2020-06-23 07:27:21 RHOST 192.168.61.1 V: Z+ v& \3 z! L; Y% y0 k; u
2020-06-23 07:27:26 RHOST 192.168.61.1 V: K( J) X) C6 c, w/ S
3 c6 d9 i5 V0 t0 e8 `重置失败计数- h; |9 Q" P: A
faillock --user username --reset
& e6 r( d$ M w2 }
4 W) r- `) v3 @# b后期期待继续更新。
6 P! n$ |. B( b- K, b! Y- e0 @8 z7 l7 m3 h
|
|
发表于 2023-5-31 10:51:28