前言
針對linux上的用戶���,如果用戶連續3次登錄失敗�����,就鎖定該用戶�,幾分鐘后該用戶再自動解鎖。Linux有一個pam_tally2.so的PAM模塊�����,來限定用戶的登錄失敗次數��,如果次數達到設置的閾值���,則鎖定用戶。
PAM的配置文件介紹
PAM配置文件有兩種寫法:
一種是寫在/etc/pam.conf文件中���,但centos6之后的系統中�����,這個文件就沒有了���。
另一種寫法是,將PAM配置文件放到/etc/pam.d/目錄下,其規則內容都是不包含 service 部分的�����,即不包含服務名稱�����,而/etc/pam.d 目錄下文件的名字就是服務名稱�����。如: vsftpd,login等.,只是少了最左邊的服務名列.如:/etc/pam.d/sshd
由上圖可以將配置文件分為四列,
- 第一列代表模塊類型
- 第二列代表控制標記
- 第三列代表模塊路徑
- 第四列代表模塊參數
1���、限制用戶遠程登錄
在#%PAM-1.0的下面���,即第二行��,添加內容�����,一定要寫在前面�����,如果寫在后面�����,雖然用戶被鎖定��,但是只要用戶輸入正確的密碼���,還是可以登錄的!
# vim /etc/pam.d/sshd#%PAM-1.0auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=10
各參數解釋
- even_deny_root 也限制root用戶�����;
- deny 設置普通用戶和root用戶連續錯誤登陸的最大次數���,超過最大次數,則鎖定該用戶
- unlock_time 設定普通用戶鎖定后�����,多少時間后解鎖�����,單位是秒���;
- root_unlock_time 設定root用戶鎖定后�����,多少時間后解鎖�����,單位是秒;
此處使用的是 pam_tally2 模塊�����,如果不支持 pam_tally2 可以使用 pam_tally 模塊��。另外,不同的pam版本��,設置可能有所不同��,具體使用方法��,可以參照相關模塊的使用規則��。
2���、限制用戶從tty登錄
在#%PAM-1.0的下面��,即第二行���,添加內容,一定要寫在前面���,如果寫在后面,雖然用戶被鎖定���,但是只要用戶輸入正確的密碼���,還是可以登錄的����!
# vim /etc/pam.d/login#%PAM-1.0auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10
同樣是增加在第2行�����!
3、查看用戶登錄失敗次數
#cd /etc/pam.d/[root@node100 pam.d]# pam_tally2 --user rootLogin Failures Latest failure Fromroot 7 07/16/12 15:18:22 tty1
4�����、解鎖指定用戶
[root@node100 pam.d]# pam_tally2 -r -u rootLogin Failures Latest failure From
總結
以上就是這篇文章的全部內容了����,希望本文的內容對大家的學習或者工作具有一定的參考學習價值,如果有疑問大家可以留言交流�����,謝謝大家對VEVB武林網的支持��。
