高防服务器

CentOS如何使用PAM锁定多次登陆失败的用户


CentOS如何使用PAM锁定多次登陆失败的用户

发布时间:2021-09-13 18:34:31 来源:高防服务器网 阅读:81 作者:小新 栏目:系统运维

这篇文章主要介绍了CentOS如何使用PAM锁定多次登陆失败的用户,具有一定借鉴价值,感兴趣的朋友可以参考下,希望大家阅读完这篇文章之后大有收获,下面让小编带着大家一起了解一下。

Linux有一个pam_tally2.so的PAM模块,来限定用户的登录失败次数,如果次数达到设置的阈值,则锁定用户。

编译PAM的配置文件

# vim /etc/pam.d/login

#%PAM-1.0   auth      required  pam_tally2.so   deny=3lock_time=300 even_deny_root root_unlock_time=10  auth [user_unknown=ignoresuccess=okignoreignore=ignore default=bad] pam_securetty.so   auth       include      system-auth   account    required     pam_nologin.so   account    include      system-auth   password   include      system-auth   # pam_selinux.so close should be the first session rule   session    required     pam_selinux.so close   session    optional     pam_keyinit.so force revoke   session    required     pam_loginuid.so   session    include      system-auth   session    optional     pam_console.so   # pam_selinux.so open should only be followed by sessions to be executed in the user context   session    required     pam_selinux.so open

各参数解释

even_deny_root    也限制root用户;   deny           设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户   unlock_time        设定普通用户锁定后,多少时间后解锁,单位是秒;   root_unlock_time      设定root用户锁定后,多少时间后解锁,单位是秒;   此处使用的是 pam_tally2 模块,如果不支持 pam_tally2 可以使用 pam_tally 模块。另外,不同的pam版本,设置可能有所不同,具体使用方法,可以参照相关模块的使用规则。

在#%PAM-1.0的下面,即第二行,添加内容,一定要写在前面,如果写在后面,虽然用户被锁定,但是只要用户输入正确的密码,还是可以登录的!

最终效果如下图

这个只是限制了用户从tty登录,而没有限制远程登录,如果想限制远程登录,需要改SSHD文件

# vim /etc/pam.d/sshd

#%PAM-1.0   auth          required        pam_tally2.so        deny=3unlock_time=300 even_deny_root root_unlock_time=10  auth       include      system-auth   account    required     pam_nologin.so   account    include      system-auth   password   include      system-auth   session    optional     pam_keyinit.so force revoke   session    include      system-auth   session    required     pam_loginuid.so

同样是增加在第2行!

查看用户登录失败的次数

[root@node100 pam.d]# pam_tally2 --user redhat   Login           Failures Latest failure     From   redhat              7    07/16/12 15:18:22  tty1

解锁指定用户

[root@node100 pam.d]# pam_tally2 -r -u redhat   Login           Failures Latest failure     From   redhat              7    07/16/12 15:18:22  tty1

这个远程ssh的时候,没有提示,我用的是Xshell,不知道其它终端有没提示,只要超过设定的值,输入正确的密码也是登陆不了的!

感谢你能够认真阅读完这篇文章,希望小编分享的“CentOS如何使用PAM锁定多次登陆失败的用户”这篇文章对大家有帮助,同时也希望大家多多支持高防服务器网,关注高防服务器网行业资讯频道,更多相关知识等着你来学习!

[微信提示:高防服务器能助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。

[图文来源于网络,不代表本站立场,如有侵权,请联系高防服务器网删除]
[