Centos7下怎么實(shí)現(xiàn)用戶登錄失敗N次后鎖定用戶禁止登陸

這篇文章主要介紹了Centos7下怎么實(shí)現(xiàn)用戶登錄失敗N次后鎖定用戶禁止登陸的相關(guān)知識(shí)，內(nèi)容詳細(xì)易懂，操作簡(jiǎn)單快捷，具有一定借鑒價(jià)值，相信大家閱讀完這篇Centos7下怎么實(shí)現(xiàn)用戶登錄失敗N次后鎖定用戶禁止登陸文章都會(huì)有所收獲，下面我們一起來看看吧。

前言

針對(duì)linux上的用戶，如果用戶連續(xù)3次登錄失敗，就鎖定該用戶，幾分鐘后該用戶再自動(dòng)解鎖。linux有一個(gè)pam_tally2.so的pam模塊，來限定用戶的登錄失敗次數(shù)，如果次數(shù)達(dá)到設(shè)置的閾值，則鎖定用戶。

pam的配置文件介紹

pam配置文件有兩種寫法:

一種是寫在/etc/pam.conf文件中，但centos6之后的系統(tǒng)中，這個(gè)文件就沒有了。

另一種寫法是,將pam配置文件放到/etc/pam.d/目錄下,其規(guī)則內(nèi)容都是不包含 service 部分的，即不包含服務(wù)名稱，而/etc/pam.d 目錄下文件的名字就是服務(wù)名稱。如: vsftpd,login等.,只是少了最左邊的服務(wù)名列.如:/etc/pam.d/sshd

由上圖可以將配置文件分為四列，

• 第一列代表模塊類型

• 第二列代表控制標(biāo)記

• 第三列代表模塊路徑

• 第四列代表模塊參數(shù)

1、限制用戶遠(yuǎn)程登錄

在#%pam-1.0的下面，即第二行，添加內(nèi)容，一定要寫在前面，如果寫在后面，雖然用戶被鎖定，但是只要用戶輸入正確的密碼，還是可以登錄的！

# vim /etc/pam.d/sshd
#%pam-1.0
auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=10

各參數(shù)解釋

• even_deny_root 也限制root用戶；

• deny 設(shè)置普通用戶和root用戶連續(xù)錯(cuò)誤登陸的最大次數(shù)，超過最大次數(shù)，則鎖定該用戶

• unlock_time 設(shè)定普通用戶鎖定后，多少時(shí)間后解鎖，單位是秒；

• root_unlock_time 設(shè)定root用戶鎖定后，多少時(shí)間后解鎖，單位是秒；

此處使用的是 pam_tally2 模塊，如果不支持 pam_tally2 可以使用 pam_tally 模塊。另外，不同的pam版本，設(shè)置可能有所不同，具體使用方法，可以參照相關(guān)模塊的使用規(guī)則。

2、限制用戶從tty登錄

在#%pam-1.0的下面，即第二行，添加內(nèi)容，一定要寫在前面，如果寫在后面，雖然用戶被鎖定，但是只要用戶輸入正確的密碼，還是可以登錄的！

# vim /etc/pam.d/login
#%pam-1.0
auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10

同樣是增加在第2行！

3、查看用戶登錄失敗次數(shù)

#cd /etc/pam.d/
[root@node100 pam.d]# pam_tally2 --user root
login failures latest failure from
root 7 07/16/12 15:18:22 tty1

4、解鎖指定用戶

[root@node100 pam.d]# pam_tally2 -r -u root
login failures latest failure from

關(guān)于“Centos7下怎么實(shí)現(xiàn)用戶登錄失敗N次后鎖定用戶禁止登陸”這篇文章的內(nèi)容就介紹到這里，感謝各位的閱讀！相信大家對(duì)“Centos7下怎么實(shí)現(xiàn)用戶登錄失敗N次后鎖定用戶禁止登陸”知識(shí)都有一定的了解，大家如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道。