啟用登錄失敗處理功能(限制非法登錄次數,用戶遠程登錄ssh失敗超過N次,鎖定用戶,並設置解鎖時間)
配置:
在第一行#%PAM-1.0的下面,即第二行,添加如下方代碼,一定要寫第二行,如果寫在下面,雖然用戶被鎖定,但是只要用戶輸入正確的密碼,還是可以登錄的!
[root@iZ2efwr6c3dZ tmp]# vim /etc/pam.d/sshd
#%PAM-1.0
auth required pam_tally2.so deny=3 unlock_time=300
解釋:
deny:設置普通用戶連續錯誤登陸的最大次數,超過最大次數,則鎖定該用戶
(注意:默認只限制普通用戶,不包括root,如果需要對root用戶也生效的話,需加even_deny_root root_unlock_time=N)
unlock_time:設定普通用戶鎖定后,多少時間后解鎖,單位是秒;
注意:
用戶鎖定期間,無論在輸入正確還是錯誤的密碼,都將視為錯誤密碼,並以最后一次登錄為鎖定起始時間,若果用戶解鎖后輸入密碼的第一次依然為錯誤密碼,則再次重新鎖定。
查看用戶失敗次數
[root@localhost ~]# pam_tally2 --------------------查看所有用戶登錄失敗次數
[root@localhost ~]# pam_tally2 --user root ------------指定查看登錄失敗的用戶次數
解鎖指定用戶
[root@iZ25dsfp6c3dZ ~]# pam_tally2 -r -u albert