设置Linux用户连续N 次登陆失败时,自动锁定X 分钟(pam_tally)
1、如果想在所有登陆方式上,限制所有用户,可以在 /etc/pam.d/system-auth 中增加 2 行
auth required pam_tally.so onerr=fail no_magic_root
account required pam_tally.so deny=3 no_magic_root even_deny_root_account per_user reset
deny 设置普通用户和 root 用户连续错误登陆的最大次数,超过最大次数,则锁定该用户;
no_magic_root 连 root 用户也在限制范围,不给 root 特殊权限。
详细参数的含义,参见 /usr/share/doc/pam-xxxx/txts/README.pam_tally
如果不想限制 root 用户,可以将 even_deny_root_account 取消掉。
只在本地文本终端上做限制,可以编辑如下文件,添加的内容和上方一样。
只在图形化登陆界面上做限制,可以编辑如下文件,添加的内容和上方也一样。
只在远程 telnet、ssh 登陆上做限制,可以编辑如下文件,添加的内容和上方也一样。
vi /etc/pam.d/remote
vi /etc/pam.d/sshd
3、手动解除锁定:
例如,查看 work 用户的错误登陆次数:
pam_tally –user work
例如,清空 work 用户的错误登陆次数,
pam_tally –user work –reset
faillog -r 命令亦可。
因为 pam_tally 没有自动解锁的功能,所以,在设置限制时,要多加注意,万一全做了限制,而 root 用
户又被锁定了,就只能够进单用户模式解锁了,当然,也可以添加crontab 任务,达到定时自动解锁的功
能,但需要注意的是,如果在/etc/pam.d/system-auth 文件中添加了 pam_tally 的话,当 root 被锁
定后,crontab 任务会失效,所以,最好不要在 system-auth 文件中添加 pam_tally。
5、添加 crontab 任务
root 用户执行 crontab -e 命令,添加如下内容
*/1 * * * * /usr/bin/faillog -r
意思是,每 1 分钟,将所有用户登陆失败的次数清空,并将所有用户解锁。
#############################################