- 积分
- 16843
在线时间 小时
最后登录1970-1-1
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?开始注册
x
pam
& _8 C4 I9 \' F( s* U+ n$ l1.进入/etc/pam.d/password-auth 文件3 C8 F* b, r% ?% r
2.添加配置,以这条配置为例.我在这里只设置错误三次锁定当前用户(不包括root),锁定时间为60秒6 ?4 q( j( Z/ H8 U; k2 _
4 T% x) f8 H6 z* _! h
auth required pam_tally2.so file=/var/log/tallylog deny=3 unlock_time=60
$ ^7 Y3 k) G, l1 q' R2 P `, \account required pam_tally2.so" _. M9 V. X# i5 z
5 W5 _9 }) a6 v或者source /etc/pam.d/password-auth文件也能解决5 o; J ~" L/ G% C
参数 作用 G$ j# M; E* X$ I* U
even_deny_root 限制root用户
, {# @' W) k( j4 m, qdeny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户' L0 r+ O7 Q$ N+ t
unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒5 L2 q8 @6 X5 a& s5 u s
root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒( t" q7 B, u3 b- n( @: R
3.查看解除锁定(以test为例):
/ f' R! J9 `+ _2 u9 ^! y7 |" z* T! Z* K
(1)查看错误登录次数7 \' o1 {( p; a% h1 S2 V" N% H
, G/ N+ r2 x- K# j" v5 }1 P
pam_tally --user=用户名 & [! I% h; R P3 E- }' @
6 z+ u/ T9 @; E9 J1 n, C
; `3 c4 m; S4 r& ^6 e/ F例如,查看test用户的错误登陆次数:- i' k+ I' D5 ^) Z/ I& W
6 ?7 t! m, d2 j+ j- E) q7 a/ p
[root@localhost ~]# pam_tally2 --user=test ) i) V" y2 w0 I B4 }
Login Failures Latest failure From/ ]# @$ }+ [: k4 A' ^" ]4 h' R
test 0 4 b: Z Y& h) L9 ^
& _1 S# I# d3 s! m9 v
0 S: W! q8 F( z: @5 L% `3 W
(2)清空某一用户错误登陆次数:6 V4 Q5 f5 e0 J' u
& U, \; A- y% O% @* C
pam_tally --user=用户名 --reset
, s' a8 T; z3 Z: |1" w' S" E J+ k( V- }" _' H
例如,清空 test用户的错误登陆次数,' J) v; {- E' m' w5 [
9 z) U4 g0 f- g# C" B: c
[root@localhost ~]# pam_tally2 --user=test --reset/ f0 S2 C8 B3 i
Login Failures Latest failure From
0 z& @2 h! B; J& s# |test 19 06/21/20 22:17:30 192.168.61.1; s- O1 c6 ]1 V
[root@localhost ~]# pam_tally2 --user=test
2 B) p# l( f$ C3 S% QLogin Failures Latest failure From% \. M6 b N' r* F! Z
test 0
6 c+ I$ e* j0 V3 g5 O6 L, c, Z' W# Q# B+ ?$ R5 B+ n! s
$ R1 a, b6 Y4 Wpam_faillock
r* D' M' [) A3 p" `$ Q- q+ U. j在8版本中移除了pam_tally2.so这个模块,所以在8版本中我们需要用pam_faillock 来做用户登录失败的限制。2 v% u7 Y% Y; o/ x. S Q# c i* k
修改配置的位置不变还是password-auth文件
, C9 h" Q n; B z" ^1.进入/etc/pam.d/password-auth 文件
, T! h' N X7 X( X2.添加以下配置8 F: X1 c+ N; ?4 Y$ G
配置的内容含义基本与pam_tally2.so相同,可根据自己的需要进行配置
$ ]5 f1 c% u ?3 O- k
+ C ~9 ?; l1 pauth required pam_faillock.so preauth silent audit deny=3 unlock_time=600. B# m% Q x, P* @ `2 Z
auth sufficient pam_unix.so nullok try_first_pass5 M* g. B# B# s O3 R; L G
auth [default=die] pam_faillock.so authfail audit deny=3
) |) E$ |4 G2 D; g, b# vaccount required pam_faillock.so
* f9 ^( I8 f" p$ J$ m- X K) g, X
4 Y& `/ }# @8 G# L) efaillock 命令4 |4 `) t4 `9 k, x3 { x5 _
查看失败计数
9 S' I1 K/ w8 Q* xfaillock --user username( a% o; \% b- U! I* T$ @( }
+ g* ]; t0 D# w) {# \4 q2 g[root@et8en ~]# faillock --user test
6 t5 E7 \3 x$ q) Q* A' ?test:
, E! p8 l# e8 M/ M; |& ]+ iWhen Type Source Valid2 e3 D& y; s `6 y% V* C
2020-06-23 07:27:14 RHOST 192.168.61.1 V- `9 J% S4 b( u7 ?& r0 l
2020-06-23 07:27:21 RHOST 192.168.61.1 V9 \" y& q. I( Q* n; ^2 q$ b
2020-06-23 07:27:26 RHOST 192.168.61.1 V' N# p; }/ q$ k
% o. J3 A* x" Z2 [" L5 J重置失败计数& }) t$ h0 T# B0 Z$ o2 R
faillock --user username --reset
f: a2 c( \0 b3 e% l5 N7 d4 O9 ]* V, U7 M! L! S+ A& ^+ C
后期期待继续更新。% ]( u1 T0 V5 R! O* g6 j* v. P" {* V
# Q$ z. W5 }3 d$ f, n$ c2 ^
|
|
/4 
|返回首页|Archiver|小黑屋|易陆发现技术论坛
( 蜀ICP备2026014127号-1 )
窥视卡
雷达卡
发表于 2023-5-31 10:51:28
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜