- 积分
- 16844
在线时间 小时
最后登录1970-1-1
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?开始注册
x
pam
7 r7 w2 F) u6 }( Q1.进入/etc/pam.d/password-auth 文件: b& |4 [" B0 X ]) @* t1 m
2.添加配置,以这条配置为例.我在这里只设置错误三次锁定当前用户(不包括root),锁定时间为60秒
2 q# C0 _* m( V) c8 ?- f% Q0 S; D# x {5 _' e+ o1 g
auth required pam_tally2.so file=/var/log/tallylog deny=3 unlock_time=60
2 G; ?" V5 q' `2 Laccount required pam_tally2.so
. y0 C- @) a: Y) u7 u* m: m/ Q2 i& Q9 c
或者source /etc/pam.d/password-auth文件也能解决
/ B; s0 {1 A: Z1 @参数 作用
; D+ \; ]) p" s+ x8 Z1 _even_deny_root 限制root用户
# i* i* p5 U, u* Y" z; \6 g8 P2 Odeny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户
* Q1 z' R% X6 L3 }unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒9 D. ?" B' U6 C* [, ?
root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒' B3 w9 W7 `" |1 I3 Z) [
3.查看解除锁定(以test为例):
3 a1 u# h4 M3 z3 p8 a) o' E! Q% @9 Z4 |- L" m4 x# G. O7 b$ x7 s
(1)查看错误登录次数
, K! q9 ^: f( A( m6 b: ]
' K4 Q1 X: U, Q5 Spam_tally --user=用户名 ; j& D, j/ w6 p9 w& X W
( Z2 U* \3 t4 [
+ }, b. x8 j% ?5 V" |* v! \, z例如,查看test用户的错误登陆次数: s( h: J' ]2 L" }4 q, E
' j* A% y5 S. @- M( G! Y7 `0 `2 X[root@localhost ~]# pam_tally2 --user=test
7 ?1 {) h6 B) c0 m6 d T, nLogin Failures Latest failure From. ^* b9 O) s/ @/ N+ U
test 0 , A, c9 p7 w4 @ Z5 R# Q
# H6 R) _4 `5 B, d5 |7 o: f
/ W/ \ Q I' g3 S& T- F(2)清空某一用户错误登陆次数:
* j4 F/ ]0 T8 L3 `; ~1 Z% S! |7 r* n: U: A, }& i' D
pam_tally --user=用户名 --reset4 U H% e0 Q/ Q3 ?
1" a! H9 W' W; q
例如,清空 test用户的错误登陆次数,, y8 M! _7 \" m, n
$ @* C) F) U% v3 F% _8 b4 x
[root@localhost ~]# pam_tally2 --user=test --reset
7 N5 y7 _" i3 ^% bLogin Failures Latest failure From
$ ~2 m1 b4 W: J1 f1 M4 Ytest 19 06/21/20 22:17:30 192.168.61.1, I" ^7 `9 P/ J
[root@localhost ~]# pam_tally2 --user=test
5 Y6 D$ R3 M' YLogin Failures Latest failure From
3 \. t0 A* i5 }test 0
p9 g+ f) I: M1 ~) u" p4 s! |, d P C3 F8 ^% Q/ S- o9 Z( R7 P
4 F) I# k I& @2 k) cpam_faillock
2 w* d: p1 h: J2 ~0 M( g9 G在8版本中移除了pam_tally2.so这个模块,所以在8版本中我们需要用pam_faillock 来做用户登录失败的限制。. h- R1 p7 b% ^7 i* ~4 ]7 ^
修改配置的位置不变还是password-auth文件
% ^7 o2 |5 L" u: D9 F9 w1.进入/etc/pam.d/password-auth 文件. d+ Q. H0 x& S% o; n# p
2.添加以下配置
/ ?: H- v4 C1 W. V配置的内容含义基本与pam_tally2.so相同,可根据自己的需要进行配置
1 _% z/ }: M0 u
. K/ s" B: G+ ^& mauth required pam_faillock.so preauth silent audit deny=3 unlock_time=600+ K1 L" t3 |+ V; O1 ?* @9 o/ F, `
auth sufficient pam_unix.so nullok try_first_pass8 G9 C; [ m+ T$ b& `7 Q: Q- I4 h
auth [default=die] pam_faillock.so authfail audit deny=3: g0 f, {2 w( w
account required pam_faillock.so7 W# S& v6 A1 C. S$ @& k! ^& k
5 C9 j4 F+ w3 Pfaillock 命令. R( A7 \2 q7 f1 ^: R4 c5 x
查看失败计数$ _( e" A( f B" }# Y3 h
faillock --user username; @. M7 u! }% N. u# s6 f v. t" w
* J4 Q/ W% ^# u[root@et8en ~]# faillock --user test" j: n# V- _& I. v+ E
test:& m, W) |& z8 J1 @- b5 u
When Type Source Valid3 `6 Q$ z7 C1 T1 G
2020-06-23 07:27:14 RHOST 192.168.61.1 V% f( g: S/ J% j& g: ?
2020-06-23 07:27:21 RHOST 192.168.61.1 V3 A+ ? n8 L8 x: D% {3 f
2020-06-23 07:27:26 RHOST 192.168.61.1 V
8 A# D: r( M$ D3 L2 h4 Z8 M
7 \. N3 m. n, `/ m& X, }重置失败计数6 ^% {1 a" i' ~( W
faillock --user username --reset
- k9 [! ?: ` d0 L2 r$ @& M- P( I
后期期待继续更新。
w% ~" {- d; A" J+ @& b) H A+ Q* @( f* x* f; }; s- O9 f
|
|
/4 
|返回首页|Archiver|小黑屋|易陆发现技术论坛
( 蜀ICP备2026014127号-1 )
窥视卡
雷达卡
发表于 2023-5-31 10:51:28
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜