CentOS如何使用PAM鎖定多次登陸失敗的用戶(hù)

這篇文章主要介紹了CentOS如何使用PAM鎖定多次登陸失敗的用戶(hù)，具有一定借鑒價(jià)值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著(zhù)大家一起了解一下。

Linux有一個(gè)pam_tally2.so的PAM模塊，來(lái)限定用戶(hù)的登錄失敗次數，如果次數達到設置的閾值，則鎖定用戶(hù)。

編譯PAM的配置文件

# vim /etc/pam.d/login

#%PAM-1.0 
auth      required  pam_tally2.so   deny=3lock_time=300 even_deny_root root_unlock_time=10
auth [user_unknown=ignoresuccess=okignoreignore=ignore default=bad] pam_securetty.so 
auth       include      system-auth 
account    required     pam_nologin.so 
account    include      system-auth 
password   include      system-auth 
# pam_selinux.so close should be the first session rule 
session    required     pam_selinux.so close 
session    optional     pam_keyinit.so force revoke 
session    required     pam_loginuid.so 
session    include      system-auth 
session    optional     pam_console.so 
# pam_selinux.so open should only be followed by sessions to be executed in the user context 
session    required     pam_selinux.so open

各參數解釋

even_deny_root    也限制root用戶(hù)； 
deny           設置普通用戶(hù)和root用戶(hù)連續錯誤登陸的最大次數，超過(guò)最大次數，則鎖定該用戶(hù) 
unlock_time        設定普通用戶(hù)鎖定后，多少時(shí)間后解鎖，單位是秒； 
root_unlock_time      設定root用戶(hù)鎖定后，多少時(shí)間后解鎖，單位是秒； 
此處使用的是 pam_tally2 模塊，如果不支持 pam_tally2 可以使用 pam_tally 模塊。另外，不同的pam版本，設置可能有所不同，具體使用方法，可以參照相關(guān)模塊的使用規則。

在#%PAM-1.0的下面，即第二行，添加內容，一定要寫(xiě)在前面，如果寫(xiě)在后面，雖然用戶(hù)被鎖定，但是只要用戶(hù)輸入正確的密碼，還是可以登錄的！

最終效果如下圖

這個(gè)只是限制了用戶(hù)從tty登錄，而沒(méi)有限制遠程登錄，如果想限制遠程登錄，需要改SSHD文件

# vim /etc/pam.d/sshd

#%PAM-1.0 
auth          required        pam_tally2.so        deny=3unlock_time=300 even_deny_root root_unlock_time=10
auth       include      system-auth 
account    required     pam_nologin.so 
account    include      system-auth 
password   include      system-auth 
session    optional     pam_keyinit.so force revoke 
session    include      system-auth 
session    required     pam_loginuid.so

同樣是增加在第2行！

查看用戶(hù)登錄失敗的次數

[root@node100 pam.d]# pam_tally2 --user redhat 
Login           Failures Latest failure     From 
redhat              7    07/16/12 15:18:22  tty1

解鎖指定用戶(hù)

[root@node100 pam.d]# pam_tally2 -r -u redhat 
Login           Failures Latest failure     From 
redhat              7    07/16/12 15:18:22  tty1

這個(gè)遠程ssh的時(shí)候，沒(méi)有提示，我用的是Xshell，不知道其它終端有沒(méi)提示，只要超過(guò)設定的值，輸入正確的密碼也是登陸不了的！