|
|
pam
% a' d8 f8 L* I1.进入/etc/pam.d/password-auth 文件
6 X; H: e, _- d% G9 _6 X" R- U- O2.添加配置,以这条配置为例.我在这里只设置错误三次锁定当前用户(不包括root),锁定时间为60秒 D, Y" }# u6 T$ p- @2 @5 e2 ^( p
5 m' P) N8 Y/ C, Z2 B% Z: l Rauth required pam_tally2.so file=/var/log/tallylog deny=3 unlock_time=60
8 L! D- o$ }1 z! L( C& ]2 gaccount required pam_tally2.so) J! _4 n% {& B, o/ X8 D6 o1 t
) [4 ~1 O; c7 {# c* K* A: S
或者source /etc/pam.d/password-auth文件也能解决, f* Q7 i5 A0 ]. Z% z
参数 作用& |3 G2 f/ y* r( Y( M# h
even_deny_root 限制root用户. x3 \; E4 w. s% w) v; C; @5 j
deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户3 U& r0 p7 R( X
unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒
( ~* F) j5 T$ u; Sroot_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒
, C! _ ?' M( B l2 s# e6 w3.查看解除锁定(以test为例):& r* K& u; I+ ~( k8 `! d3 Y4 }- x
- P3 k: H2 ?# t$ S(1)查看错误登录次数% r' C! V4 m- n% x
9 g* u6 _1 Z o, I6 e8 cpam_tally --user=用户名
1 k3 `: x8 H& f. `8 p5 D- U) j. Y0 C" O8 a& ~6 p8 u; V* {+ H: R
. M# ^4 A7 f' s$ o \
例如,查看test用户的错误登陆次数:
9 z$ Q/ Z- B P3 x( Y0 G0 Z R6 w2 m% p+ x j
[root@localhost ~]# pam_tally2 --user=test
/ I% e5 A2 F. K3 `Login Failures Latest failure From/ D9 C5 z& w- D, z' P% [
test 0
5 b7 h7 i7 M ~" e
8 P+ C( Q5 r3 ]9 f3 V3 t
+ Q$ I" }5 U, l7 C4 Y% h+ `5 G/ {(2)清空某一用户错误登陆次数:
7 I: X" v/ x+ J0 @: }
: \. S" `; M4 v, X5 |& `pam_tally --user=用户名 --reset3 @+ S) f, D, B: k m
1
) n/ E5 D3 z( f @" p例如,清空 test用户的错误登陆次数,
3 \6 A8 s- D+ g& h0 D( B6 F$ |5 ~2 H! o
[root@localhost ~]# pam_tally2 --user=test --reset
+ n4 L8 _0 q9 n7 i# pLogin Failures Latest failure From
3 A0 Z. U. d. m7 p5 f3 w) P+ b- S: _test 19 06/21/20 22:17:30 192.168.61.1
& n% ]. U: E; c4 g' p5 w# B% c[root@localhost ~]# pam_tally2 --user=test 2 W6 J& n+ F8 |1 x
Login Failures Latest failure From
' k, f# o, I$ J B9 R5 w/ qtest 0 . [% I2 C4 Y' {% f0 h$ p; E
7 u$ t t( I' z" a% U( g
5 G( [( z, h# P9 `) f# i. d
pam_faillock4 m8 `) r% z. ^$ v1 V6 @1 c
在8版本中移除了pam_tally2.so这个模块,所以在8版本中我们需要用pam_faillock 来做用户登录失败的限制。; w# S4 {9 c0 W8 `0 a
修改配置的位置不变还是password-auth文件 f( {: D- f" X- ?1 r4 f
1.进入/etc/pam.d/password-auth 文件& V. {, E1 T6 ]0 y6 T
2.添加以下配置0 R# U/ B+ f/ G2 s- C
配置的内容含义基本与pam_tally2.so相同,可根据自己的需要进行配置: x [8 e& {, q- y, O8 K5 [
( m0 N; U3 q- Y) w. Y5 c3 ]9 k+ Sauth required pam_faillock.so preauth silent audit deny=3 unlock_time=600
( J! T8 h2 }. \auth sufficient pam_unix.so nullok try_first_pass, O* z# h# U- `
auth [default=die] pam_faillock.so authfail audit deny=3
6 S$ j' U1 W% |) r paccount required pam_faillock.so
2 l1 O' n) I |) k) u" c
3 h+ [5 ~. \$ E4 ]; a, `9 O; ~& Cfaillock 命令
: z$ G5 N. F0 L- z3 V查看失败计数
6 _2 L! I+ S9 _/ N Yfaillock --user username
$ ~( f, z" Z- v( ?. X, h6 q
9 [9 b! C0 @5 H' [6 Q3 q. S/ }& a[root@et8en ~]# faillock --user test4 ]( d: s1 G6 x" w
test:" B- O1 S$ `# D
When Type Source Valid
) U) l# R Z8 H) S$ q9 Z$ x2020-06-23 07:27:14 RHOST 192.168.61.1 V8 H; P$ c! F& x4 Q# X) r- p- m
2020-06-23 07:27:21 RHOST 192.168.61.1 V" I I: \( D6 q8 |1 Z
2020-06-23 07:27:26 RHOST 192.168.61.1 V
" b% T0 h% c$ O) f! B0 x; Q# {2 \/ O c( m
重置失败计数 n+ E" y6 H& e3 M
faillock --user username --reset
' `2 j# K% ^: [2 r1 F4 U3 h
/ y8 z& o$ U6 C, r6 u; R( m后期期待继续更新。8 k* j* Z7 V2 ]( X7 W
8 F) c) W6 h2 x H6 C0 I# _ |
|
发表于 2023-5-31 10:51:28