快捷導(dǎo)航

Linux實(shí)現(xiàn)限制遠(yuǎn)程登錄嘗試密碼次數(shù)及鎖定時(shí)間

更新時(shí)間：2024年10月15日 10:12:10 作者：愛(ài)輝弟啦

在CentOS中,pam_tally2.so模塊可以用來(lái)限制用戶登錄失敗的次數(shù),并在達(dá)到設(shè)定的閾值時(shí)鎖定用戶賬戶,配置文件需正確修改,包括在/etc/pam.d/login和/etc/pam.d/sshd中增加相應(yīng)配置,此設(shè)置可以有效防止未授權(quán)的登錄嘗試

1、編譯PAM的配置文件

[root@node2 ~ ]# vim /etc/pam.d/login

#%PAM-1.0
auth    required    pam_tally2.so    deny=3    unlock_time=100 even_deny_root root_unlock_time=200
auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
auth       substack     system-auth
auth       include      postlogin
account    required     pam_nologin.so
account    include      system-auth
password   include      system-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
session    optional     pam_console.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      system-auth
session    include      postlogin
-session   optional     pam_ck_connector.so

各參數(shù)介紹：

even_deny_root：也限制root用戶；
deny：設(shè)置普通用戶和root用戶連續(xù)錯(cuò)誤登陸的最大次數(shù)，超過(guò)最大次數(shù)，則鎖定該用戶
unlock_time：設(shè)定普通用戶鎖定后，多少時(shí)間后解鎖，單位是秒；
root_unlock_time：設(shè)定root用戶鎖定后，多少時(shí)間后解鎖，單位是秒；

此處使用的是 pam_tally2 模塊，如果不支持 pam_tally2 可以使用 pam_tally 模塊。另外，不同的pam版本，設(shè)置可能有所不同，具體使用方法，可以參照相關(guān)模塊的使用規(guī)則。

在#%PAM-1.0的下面，即第二行，添加內(nèi)容，一定要寫在前面，如果寫在后面，雖然用戶被鎖定，但是只要用戶輸入正確的密碼，還是可以登錄的！

添加參數(shù)介紹：

設(shè)置密碼嘗試錯(cuò)誤三次，普通用戶和root用戶都進(jìn)行鎖定，普通用戶鎖定100秒，root用戶鎖定200秒

/etc/pam.d/login —最終配置圖：

2、這個(gè)只是限制了用戶從tty登錄

而沒(méi)有限制遠(yuǎn)程登錄，如果想限制遠(yuǎn)程登錄，需要改sshd文件

[root@node2 ~ ]# vim /etc/pam.d/sshd

#%PAM-1.0
auth    required    pam_tally2.so    deny=3    unlock_time=100 even_deny_root root_unlock_time=200
auth       required     pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
# Used with polkit to reauthorize users in remote sessions
-auth      optional     pam_reauthorize.so prepare
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin
# Used with polkit to reauthorize users in remote sessions
-session   optional     pam_reauthorize.so prepare

同樣是增加在第2行！

查看用戶登錄失敗的次數(shù)：

[root@node2 ~ ]# pam_tally2 --user
Login           Failures Latest failure     From
aihuidi             6    06/20/19 10:11:07  192.168.200.186    在186這個(gè)ip上有個(gè)普通用戶aihuidi登錄失敗
[root@node2 ~ ]#

解鎖指定用戶：

[root@node2 ~ ]# pam_tally2 -r -u aihuidi    解鎖aihuidi用戶
Login           Failures Latest failure     From
aihuidi             6    06/20/19 10:11:07  192.168.200.186
[root@node2 ~ ]# pam_tally2 --user     在進(jìn)行查看用戶登錄失敗次數(shù)
[root@node2 ~ ]#

ps：這個(gè)遠(yuǎn)程ssh的時(shí)候，輸入密碼錯(cuò)誤超過(guò)三次但是沒(méi)有提示，我用的是Xshell，不知道其它終端有沒(méi)有提示，但是只要超過(guò)設(shè)定的值，輸入正確的密碼也是登陸不了的！

還是要等到設(shè)定的時(shí)間在重新嘗試輸入正確密碼進(jìn)行登錄認(rèn)證