启用登录失败处理功能(限制非法登录次数,用户远程登录ssh失败超过N次,锁定用户,并设置解锁时间)
配置:
在第一行#%PAM-1.0的下面,即第二行,添加如下方代码,一定要写第二行,如果写在下面,虽然用户被锁定,但是只要用户输入正确的密码,还是可以登录的!
[root@iZ2efwr6c3dZ tmp]# vim /etc/pam.d/sshd
#%PAM-1.0
auth required pam_tally2.so deny=3 unlock_time=300
解释:
deny:设置普通用户连续错误登陆的最大次数,超过最大次数,则锁定该用户
(注意:默认只限制普通用户,不包括root,如果需要对root用户也生效的话,需加even_deny_root root_unlock_time=N)
unlock_time:设定普通用户锁定后,多少时间后解锁,单位是秒;
注意:
用户锁定期间,无论在输入正确还是错误的密码,都将视为错误密码,并以最后一次登录为锁定起始时间,若果用户解锁后输入密码的第一次依然为错误密码,则再次重新锁定。
查看用户失败次数
[root@localhost ~]# pam_tally2 --------------------查看所有用户登录失败次数
[root@localhost ~]# pam_tally2 --user root ------------指定查看登录失败的用户次数
解锁指定用户
[root@iZ25dsfp6c3dZ ~]# pam_tally2 -r -u albert