針對linux上的用戶,如果用戶連續3次登錄失敗,就鎖定該用戶,幾分鍾后該用戶再自動解鎖。Linux有一個pam_tally2.so的PAM模塊,來限定用戶的登錄失敗次數,如果次數達到設置的閾值,則鎖定用戶。
PAM的配置文件介紹
PAM配置文件有兩種寫法:
1.一種是寫在/etc/pam.conf文件中,但centos6之后的系統中,這個文件就沒有了。
2.另一種寫法是,將PAM配置文件放到/etc/pam.d/目錄下,其規則內容都是不包含 service 部分的,即不包含服務名稱,而/etc/pam.d 目錄下文件的名字就是服務名稱。如: vsftpd,login等.,只是少了最左邊的服務名列.如:/etc/pam.d/sshd
在工作中為了防止惡意訪問者暴力破解openssh口令。所以我們需要設置登錄系統失敗鎖定用戶策略。
環境是Centos7
服務器1:172.16.1.15
服務器2:172.16.1.16
編輯172.16.1.16的 /etc/pam.d/sshd 在第二行添加紅框內容
auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=10
even_deny_root 也限制root用戶;
deny 設置普通用戶和root用戶連續錯誤登陸的最大次數,超過最大次數,則鎖定該用戶
unlock_time 設定普通用戶鎖定后,多少時間后解鎖,單位是秒;
root_unlock_time 設定root用戶鎖定后,多少時間后解鎖,單位是秒;
此處使用的是 pam_tally2 模塊,如果不支持 pam_tally2 可以使用 pam_tally 模塊。另外,不同的pam版本,設置可能有所不同,具體使用方法,可以參照相關模塊的使用規則。
接下來測試用172.16.1.15 aaa賬號ssh連接172.16.1.16 bbb賬號
#查看用戶登錄失敗次數:
pam_tally2 --user root
Login Failures Latest failure From
root 7 07/16/12 15:18:22 tty1
#解鎖指定用戶:
pam_tally2 -r -u bbb
