Linux有一個pam_tally2.so的PAM模塊,來限定用戶的登錄失敗次數,如果次數達到設置的阈值,則鎖定用戶。
編譯PAM的配置文件
# vim /etc/pam.d/login
- #%PAM-1.0
- auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10
- auth [user_unknown=ignore success=ok ignoreignore=ignore default=bad] pam_securetty.so
- auth include system-auth
- account required pam_nologin.so
- account include system-auth
- password include system-auth
- # pam_selinux.so close should be the first session rule
- session required pam_selinux.so close
- session optional pam_keyinit.so force revoke
- session required pam_loginuid.so
- session include system-auth
- session optional pam_console.so
- # pam_selinux.so open should only be followed by sessions to be executed in the user context
- session required pam_selinux.so open
各參數解釋
- even_deny_root 也限制root用戶;
- deny 設置普通用戶和root用戶連續錯誤登陸的最大次數,超過最大次數,則鎖定該用戶
- unlock_time 設定普通用戶鎖定後,多少時間後解鎖,單位是秒;
- root_unlock_time 設定root用戶鎖定後,多少時間後解鎖,單位是秒;
- 此處使用的是 pam_tally2 模塊,如果不支持 pam_tally2 可以使用 pam_tally 模塊。另外,不同的pam版本,設置可能有所不同,具體使用方法,可以參照相關模塊的使用規則。