Linux下如何锁定多次尝试登陆的用户

方法一：调整pam_tally2模块来实现

注：此模块是用来锁定多次尝试ssh登陆手锁定用户并保留尝试访问次数。

可以在以下两个配置文件/etc/pam.d/system-auth或/etc/pam.d/password-auth中加入字段auth required pam_tally2.so deny=3 unlock_time=600

account required pam_tally2.so

注意：

auth要放到第二行，不然会导致用户超过3次后也可登录。

如果对root也适用在auth后添加even_deny_root.

auth required pam_tally2.so deny=3 even_deny_root unlock_time=600

使用pam_tally2命令来查看用户登录失败的信息

pam_tally2 -u test

Login  Failures Latest failure From

test  1 06/20/17 14:18:19 192.168.56.1

也可用来解锁用户

pam_tally2 -u test -r

方法二：调整pam_faillock 模块

此模块用来管理员锁定制定次数内登陆失败用户，防止针对获取用户密码暴力破解。

通过 pam_faillock 模块，将登录尝试失败的数据储存在 /var/run/faillock 目录下每位用户的独立文件中。

可以在以下两个配置文件/etc/pam.d/system-auth或/etc/pam.d/password-auth中加入字段auth  required  pam_faillock.so preauth silent audit deny=3 unlock_time=600

auth  sufficient pam_unix.so nullok try_first_pass

auth  [default=die] pam_faillock.so authfail audit deny=3

account  required  pam_faillock.so

注意：

auth required pam_faillock.so preauth silent audit deny=3 必须在最前面。

适用于root在pam_faillock 条目里添加 even_deny_root 选项

faillock命令

查看每个用户的尝试失败次数

$ faillock

test:

When    Type Source           Valid

2017-06-20 14:29:05 RHOST 192.168.56.1           V

2017-06-20 14:29:14 RHOST 192.168.56.1           V

2017-06-20 14:29:17 RHOST 192.168.56.1           V

解锁一个用户的账户

faillock --user <username> --reset