Linux使用PAM锁定多次登陆失败的用户

字体大小: 中小 标准 ->行高大小: 标准

Linux有一个pam_tally2.so的PAM模块,来限定用户的登录失败次数,如果次数达到设置的阈值,则锁定用户。

编译PAM的配置文件

# vim /etc/pam.d/login

  1. #%PAM-1.0 auth      required  pam_tally2.so   deny=3  lock_time=300 even_deny_root root_unlock_time=10 
  2. auth [user_unknown=ignore success=ok ignoreignore=ignore default=bad] pam_securetty.so auth       include      system-auth 
  3.  account    required     pam_nologin.so 
  4. account    include      system-auth password   include      system-auth 
  5. # pam_selinux.so close should be the first session rule session    required     pam_selinux.so close 
  6. session    optional     pam_keyinit.so force revoke session    required     pam_loginuid.so 
  7. session    include      system-auth session    optional     pam_console.so 
  8. # pam_selinux.so open should only be followed by sessions to be executed in the user context session    required     pam_selinux.so open 

各参数解释

  1. even_deny_root    也限制root用户;  
  2. deny           设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户  
  3. unlock_time        设定普通用户锁定后,多少时间后解锁,单位是秒;  
  4. root_unlock_time      设定root用户锁定后,多少时间后解锁,单位是秒;  
  5. 此处使用的是 pam_tally2 模块,如果不支持 pam_tally2 可以使用 pam_tally 模块。另外,不同的pam版本,设置可能有所不同,具体使用方法,可以参照相关模块的使用规则。 

此文章由 http://www.ositren.com 收集整理 ,地址为: http://www.ositren.com/htmls/66130.html