Linux Centos7设置输入密码三次错误锁定账号

设置输入密码3次错误锁定账号【10800秒/3小时】

输入

#     vi /etc/pam.d/sshd

然后按 i 进入编辑

#%PAM-1.0 

下面添加 一行

auth required pam_tally2.so deny=3 unlock_time=10800 even_deny_root root_unlock_time=10800

各参数解释

even_deny_root 也限制root用户；

deny 设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户

unlock_time 设定普通用户锁定后，多少时间后解锁，单位是秒；

root_unlock_time 设定root用户锁定后，多少时间后解锁，单位是秒；

此处使用的是 pam_tally2 模块，如果不支持 pam_tally2 可以使用 pam_tally 模块。另外，不同的pam版本，设置可能有所不同，具体使用方法，可以参照相关模块的使用规则。

按 Esc 键退出编辑， 后按 ：wq 保存退出

设置Linux用户连续N次输入错误密码进行登陆时，自动锁定X分钟(pam_tally2)

测试系统 ：Asianux 3.0 sp2 x86

kernel ： 2.6.18-128.7

pam版本：pam-0.99.6.2-4.1AXS3

*** 作方法：

一、在字符终端下，实现某一用户连续错误登陆N次后，就锁定该用户X分钟。

执行 vi /etc/pam.d/login

在#%PAM-1.0 下新起一行，加入

auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10

如果不限制root用户，则可以写成

auth required pam_tally2.so deny=3 unlock_time=5

pam_tally2模块(方法一)

用于对系统进行失败的ssh登录尝试后锁定用户帐户。此模块保留已尝试访问的计数和过多的失败尝试。

配置

使用 /etc/pam.d/system-auth 或 /etc/pam.d/password-auth 配置文件来配置的登录尝试的访问

注意：

auth要放到第二行，不然会导致用户超过3次后也可登录。

如果对root也适用在auth后添加 even_deny_root .

auth required pam_tally2.so deny=3 even_deny_root unlock_time=600

pam_tally2命令

查看用户登录失败的信息

解锁用户

pam_faillock 模块(方法二)

在红帽企业版 Linux 6 中， pam_faillock PAM 模块允许系统管理员锁定在指定次数内登录尝试失败的用户账户。限制用户登录尝试的次数主要是作为一个安全措施，旨在防止可能针对获取用户的账户密码的暴力破解

通过 pam_faillock 模块，将登录尝试失败的数据储存在 /var/run/faillock 目录下每位用户的独立文件中

配置

添加以下命令行到 /etc/pam.d/system-auth 文件和 /etc/pam.d/password-auth 文件中的对应区段：

auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600

auth sufficient pam_unix.so nullok try_first_pass

auth [default=die] pam_faillock.so authfail audit deny=3

account required pam_faillock.so

注意：

auth required pam_faillock.so preauth silent audit deny=3 必须在最前面。

适用于root在 pam_faillock 条目里添加 even_deny_root 选项

faillock命令

查看每个用户的尝试失败次数

$ faillock

test:

When Type Source Valid

2017-06-20 14:29:05 RHOST 192.168.56.1 V

2017-06-20 14:29:14 RHOST 192.168.56.1 V

2017-06-20 14:29:17 RHOST 192.168.56.1 V

解锁一个用户的账户

---