在線上的服務器有時需要限制用戶登錄次數.這個功能可以通過pam的pam_tally2.so模塊來實現
PAM模塊是用sun提出的一種認證機制
pam_tally2.so模塊
一.格式
- pam_tally2.so [file=/path/to/counter] [onerr=[fail|succeed]] [magic_root] [even_deny_root] [deny=n] [lock_time=n] [unlock_time=n]
- [root_unlock_time=n] [serialize] [audit] [silent] [no_log_info]
參數:
file:指定統計次數用的文件,默認是/var/log/tallylog
magic_root:如果用戶uid=0,在帳戶認證時調用該模塊發現失敗時,不計入統計
even_deny_root:root用戶一樣被鎖定
deny:普通用戶鎖定次數
lock_time:普通用戶鎖定后等待的時間
unlock_time:普通用戶鎖定后解鎖要等待的時間
二.實例
auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=300
/etc/pam.d/login中配置只在本地文本終端上做限制
/etc/pam.d/kde在配置時在kde圖形界面調用時限制
/etc/pam.d/sshd中配置時在通過ssh連接時做限制
/etc/pam.d/system-auth中配置凡是調用 system-auth 文件的服務,都會生效
三.查看命令
查看root用戶的登錄失敗的次數
pam_tally2 --user root
重置計數器,即手動解鎖
pam_tally2 --user root --reset