|
|
pam
4 Q8 ]6 ~$ g! i1.进入/etc/pam.d/password-auth 文件
# [( R0 c- H% ^9 x2.添加配置,以这条配置为例.我在这里只设置错误三次锁定当前用户(不包括root),锁定时间为60秒
' x# q' ^: a1 Y" X6 n$ L: z+ O4 e) U2 Y7 O
auth required pam_tally2.so file=/var/log/tallylog deny=3 unlock_time=60
$ n& S$ w, d& d! G2 c5 X# s' \account required pam_tally2.so
- m* A: b8 @" s- y( c" W# f+ l/ y( D& J X$ x5 x9 a# w+ v
或者source /etc/pam.d/password-auth文件也能解决
% b/ m) N' ?% L W! C0 b( V参数 作用/ D# ]# N4 P5 _* f% M+ Q
even_deny_root 限制root用户
6 ?( Y+ q2 f* @deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户
0 _& O. T4 q. m% W9 H3 E0 xunlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒
- y2 [, m8 `- u6 @' \. Y" kroot_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒( h; V( v/ _- h+ T
3.查看解除锁定(以test为例):
* n9 j! C4 l" @! `& G
9 l7 y# ~7 |: p/ T; a(1)查看错误登录次数
" X% o4 e% C* u" r( O8 Z) p9 L0 R
: V0 Y2 {/ J) _/ g3 G7 ~, u& Y. epam_tally --user=用户名 # C8 B2 E k K6 N, P- F, l6 J
* Q; r7 b; P( U0 S4 x
; n# z3 U: c" j+ v) L9 ]' J' k8 @. H例如,查看test用户的错误登陆次数:/ h, L' h) ~% q' T
& j }. t, m( q$ \" B/ I8 U[root@localhost ~]# pam_tally2 --user=test 5 f. ]0 c# C( _- w' o+ [
Login Failures Latest failure From
' n& y3 Q- i$ f4 c+ D+ V0 s3 ?test 0 $ {2 B9 J+ w; C2 I) e/ K! t
" w. s" h5 g& |6 t- h. r0 `( i5 D( Z3 P9 x/ v
(2)清空某一用户错误登陆次数: J2 Q4 c. j* \" f7 B
$ L: `1 T: S# z2 t( D, bpam_tally --user=用户名 --reset
" x# D$ S3 a7 s# j4 B19 E# }+ K. w5 Y1 ?
例如,清空 test用户的错误登陆次数,+ `7 x" `7 K3 j% L2 o9 O. m
$ {) K# G0 W! Y h. |" `7 ^& _
[root@localhost ~]# pam_tally2 --user=test --reset9 \- n6 B, L3 n* `- j6 J1 {
Login Failures Latest failure From
$ R7 B1 Z- @2 V7 Xtest 19 06/21/20 22:17:30 192.168.61.16 x$ Y' a, J' B
[root@localhost ~]# pam_tally2 --user=test 1 e; W8 a/ o2 }
Login Failures Latest failure From
' j L7 b5 C6 T8 ttest 0 + J6 s- e% k* A3 N4 `1 t
8 s! V. ~' t$ M8 u- S5 d' K# p
5 N: l+ b% m+ P0 _pam_faillock& K' w: |) {7 v9 h- i
在8版本中移除了pam_tally2.so这个模块,所以在8版本中我们需要用pam_faillock 来做用户登录失败的限制。
9 T$ |; W- j8 [; B) q6 }( ]( w修改配置的位置不变还是password-auth文件! T- ~3 b' l% \( J0 x5 S% A
1.进入/etc/pam.d/password-auth 文件0 [% M+ m3 ~3 T7 S
2.添加以下配置" i5 ^1 J( V) c6 W$ V7 M& C
配置的内容含义基本与pam_tally2.so相同,可根据自己的需要进行配置2 B8 @! S$ y* v* ]& t" r0 O0 m$ `
- M# T" K4 ^2 A3 ^8 ` M* d
auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600; G$ ^1 Y* b% j' D& j6 {0 Y* z
auth sufficient pam_unix.so nullok try_first_pass
' \* w( U# t: { l+ H/ Y& Xauth [default=die] pam_faillock.so authfail audit deny=3
* G5 i3 ?' G2 p% ^: @account required pam_faillock.so
& N" N: L2 f7 c% ]/ ~
. k; B$ C0 H+ ], d+ rfaillock 命令) R0 f7 W0 \6 b; e; L
查看失败计数
0 Z) D8 t6 y% ~# Q/ b; Z4 H0 pfaillock --user username
' @6 ~7 s/ Q9 \9 s% |4 k
0 K) G/ H" L3 |/ b2 E# k[root@et8en ~]# faillock --user test% b( s* P# c5 J8 h( i- S1 C
test:
/ ` {! b/ k* I- q$ _) O. ]. d2 eWhen Type Source Valid
1 R, x) Q7 o* U# a, X- R2020-06-23 07:27:14 RHOST 192.168.61.1 V
" I& j/ d8 Y7 h/ i9 b" b2020-06-23 07:27:21 RHOST 192.168.61.1 V
( F( _ ?4 `0 X' X C2020-06-23 07:27:26 RHOST 192.168.61.1 V8 X4 B8 M3 Q3 l0 x7 c9 s
' R/ u1 M0 ~7 H+ s. q重置失败计数# T9 Y6 P& u" q/ B9 D+ I
faillock --user username --reset/ \3 n% i. c! s; M
6 f1 I. @4 a. U9 i3 {6 [后期期待继续更新。* T1 t) Z( u; I5 W' s& k- l
9 \3 f4 e; `4 z" Q, m |
|
发表于 2023-5-31 10:51:28