Chinaunix首页 | 论坛 | 博客

擎天战神

首页 |  博文目录 |  关于我

lester125

  • 博客访问: 226419
  • 博文数量: 70
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 440
  • 用 户 组: 普通用户
  • 注册时间: 2015-08-09 09:16
个人简介

淡泊以明志,宁静以致远。

文章分类

全部博文(70)

推荐博文
相关博文
设置Linux用户连续N次输入错误密码进行登陆时,自动锁定X分钟

分类: LINUX

2019-01-12 11:25:20

一、在字符终端下,实现某一用户连续错误登陆N次后,就锁定该用户X分钟(pam_tally2)

  1. 执行 vim /etc/pam.d/login
  2. #%PAM-1.0 下新起一行,加入
  3. auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10
  5. 如果不限制root用户,则可以写成
  6. auth required pam_tally2.so deny=3 unlock_time=5
  8. even_deny_root 也限制root用户;
  9. deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户;
  10. unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒;
  11. root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒;
备注: 
1、此处使用的是 pam_tally2 模块,如果不支持 pam_tally2 模块可以使用 pam_tally 模块。另外,不同的pam版本,设置可能有所不同,具体使用方法,可以参照相关模块的使用规则。 

2、也可以直接在 system-auth 文件中直接添加这些命令,修改完成后,凡是调用 system-auth 文件的服务,都会生效。因为有自动解锁时间,所以,不用担心全部限制后,会出现永远无法登陆的”尴尬”情况。 

3、可以使用 pam_tally2 -r -u username 命令,手动清除某用户记录次数。

二、设置Linux用户连续N次登陆失败时,自动锁定X分钟(pam_tally) 
1、如果想在所有登陆方式上,限制所有用户,可以在 /etc/pam.d/system-auth 中增加2行

  1. auth required pam_tally.so onerr=fail no_magic_root
  2. account required pam_tally.so deny=3 no_magic_root even_deny_root_account per_user reset
  4. deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户;
  5. no_magic_root 连root用户也在限制范围,不给root特殊权限。
  6. 详细参数的含义,参见 /usr/share/doc/pam-xxxx/txts/README.pam_tally
  8. 如果不想限制root用户,可以将 even_deny_root_account 取消掉。
2、针对不同服务来限制不同登陆方式

  1. #只在本地文本终端上做限制,可以编辑如下文件,添加的内容和上方一样。
  2. vim /etc/pam.d/login
  4. #只在远程telnet、ssh登陆上做限制,可以编辑如下文件,添加的内容和上方也一样。
  5. vim /etc/pam.d/remote
  6. vim /etc/pam.d/sshd
3、手动解除锁定:

  1. #查看某一用户错误登陆次数:
  2. pam_tally –user username
  3. #例如,查看work用户的错误登陆次数:
  4. pam_tally –user work
  6. #清空某一用户错误登陆次数:
  7. pam_tally –user username –reset
  8. #例如,清空 work 用户的错误登陆次数:
  9. pam_tally –user work –reset
  11. faillog -r 命令亦可。
4、pam_tally没有自动解锁功能
  因为pam_tally没有自动解锁的功能,所以,在设置限制时,要多加注意,万一全做了限制,而 root用户又被锁定了,就只能够进单用户模式解锁了。当然,也可以添加crontab任务,达到定时自动解锁的功能,但需要注意的是,如果在/etc /pam.d/system-auth 文件中添加了pam_tally的话,当root被锁定后,crontab任务会失效,所以,最好不要在system-auth 文件中添加pam_tally。

---------------------------------------------------------------------------
原文:https://blog.csdn.net/m0_37886429/article/details/79641551
阅读(4845) | 评论(0) | 转发(0) |
0

上一篇:Linux使用PAM锁定多次登陆失败的用户(含重置错误次数)

下一篇:CentOS修改主机名hostname

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6