- 积分
- 16843
在线时间 小时
最后登录1970-1-1
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?开始注册
x
pam# F/ O4 L) [. U; C
1.进入/etc/pam.d/password-auth 文件; ?: t+ j! K$ n# F
2.添加配置,以这条配置为例.我在这里只设置错误三次锁定当前用户(不包括root),锁定时间为60秒
4 M6 M3 Y& v. B3 A. x, k* l: f, o/ u. |
auth required pam_tally2.so file=/var/log/tallylog deny=3 unlock_time=60# y# _0 b, | d5 ]: K* n
account required pam_tally2.so3 W4 m1 C: \; y; k; g8 b
" s# X: q# X0 y8 K. ?2 W
或者source /etc/pam.d/password-auth文件也能解决
+ i& B2 h; A" P1 H参数 作用2 A) U' G% h2 L2 |: x* U
even_deny_root 限制root用户
5 Q$ W! n( o4 B. ddeny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户# {; P" }7 S1 l3 H; n. [& x
unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒
1 \) e! m" i9 j( L( r: f" Droot_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒
) u% ^* F0 p x' @, l% t7 z3.查看解除锁定(以test为例):
5 ?* ^3 N4 P' R: @" \# B* J3 h+ F! l( A5 T2 _
(1)查看错误登录次数
7 i) u1 g4 b7 n" a: P
% H" N$ p: ]* M" apam_tally --user=用户名
; R$ x/ j" v5 H( c
" i3 `3 l+ }% [4 x2 _2 `& U- f0 X9 F9 n& y+ s
例如,查看test用户的错误登陆次数:
/ @9 B) Z/ J3 A/ N' C6 e1 D" B5 ~2 B& r7 R2 w
[root@localhost ~]# pam_tally2 --user=test . Y/ N3 a' \( x9 Q3 R" F$ D
Login Failures Latest failure From
5 w: }2 {+ C. k( c7 |3 dtest 0
7 e& _% ~) a( k7 F% |* Y5 h
' P9 D0 @/ _8 G# [% v
6 B) @7 m4 Z4 u* A(2)清空某一用户错误登陆次数:
8 H$ S/ x1 a0 ]/ D/ i% _! ^' T1 X, E; w) v0 b9 b; U- {; o
pam_tally --user=用户名 --reset
# F, W2 o1 }% ?5 ~# i7 W V% g0 j7 c6 C1( O, S) ?$ V6 y4 A9 G& E
例如,清空 test用户的错误登陆次数,2 M9 ~4 G# z* ~* Z
& f! b$ o' i, R# J! U: N8 ?0 D
[root@localhost ~]# pam_tally2 --user=test --reset
3 n% E- w7 {- }: R2 J* ]5 ILogin Failures Latest failure From
. K& T6 b f" @ p; qtest 19 06/21/20 22:17:30 192.168.61.1, F( a5 g! Y, ~ L/ N7 f* h9 ]
[root@localhost ~]# pam_tally2 --user=test 8 H1 g8 y6 |" e5 u" Y/ D V$ _0 g1 j
Login Failures Latest failure From$ B" ?7 B- a- p
test 0 8 c. S5 P* N1 V0 ~2 r! J
X; }, A: B) I; R+ q0 R9 }# V2 d
" T2 } u" X) q8 apam_faillock8 E+ S1 z/ F5 J8 }9 t( o' W
在8版本中移除了pam_tally2.so这个模块,所以在8版本中我们需要用pam_faillock 来做用户登录失败的限制。
9 L3 [* P1 m G5 s修改配置的位置不变还是password-auth文件
( b! {' ]3 V$ b" ~7 N1 I& a \1.进入/etc/pam.d/password-auth 文件+ d: k' z1 y( j, i, s2 I
2.添加以下配置) P! Q, |9 ~; o
配置的内容含义基本与pam_tally2.so相同,可根据自己的需要进行配置; |8 V$ w2 g! o& D. t: T
% K) W% M3 Q; i. c* p2 mauth required pam_faillock.so preauth silent audit deny=3 unlock_time=600
2 Q9 q: N" Q. Bauth sufficient pam_unix.so nullok try_first_pass$ c" z$ }6 w) a, f( t
auth [default=die] pam_faillock.so authfail audit deny=3% w. y P3 w1 L
account required pam_faillock.so/ @# B$ i% [9 O8 P7 Q! r; x
4 E" x/ m z$ ~
faillock 命令" Y1 a: Z6 G' B$ K) @( n
查看失败计数
) X0 C O4 Z8 q0 U" ~2 Y; B9 ffaillock --user username; Z% ~/ O8 i7 s
9 V9 E5 G+ M' o% O- n4 k[root@et8en ~]# faillock --user test: R- V, y* H: \7 h* t! h8 ^
test:
1 s0 y' `7 G/ _, vWhen Type Source Valid7 b( N2 K4 I- {7 N- l! S" I
2020-06-23 07:27:14 RHOST 192.168.61.1 V m& F- x& \; y; t1 |5 R" E
2020-06-23 07:27:21 RHOST 192.168.61.1 V4 g6 f' E* [9 G- W8 k
2020-06-23 07:27:26 RHOST 192.168.61.1 V* ]" b, \: r0 C
( q& U3 f% X0 S; B: \重置失败计数! L: T2 J7 d3 ^
faillock --user username --reset
; B9 s G8 |; A: j
$ {1 d6 D9 I. V后期期待继续更新。7 t2 g2 Q! Q2 u6 E9 H
* u7 U7 C. s. O( y9 M |
|