Linux Centos7设置输入密码三次错误锁定账号

设置输入密码3次错误锁定账号【10800秒/3小时】

输入

#     vi /etc/pam.d/sshd

然后按 i 进入编辑

#%PAM-1.0 

下面添加 一行

auth required pam_tally2.so deny=3 unlock_time=10800 even_deny_root root_unlock_time=10800

各参数解释

even_deny_root 也限制root用户；

deny 设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户

unlock_time 设定普通用户锁定后，多少时间后解锁，单位是秒；

root_unlock_time 设定root用户锁定后，多少时间后解锁，单位是秒；

此处使用的是 pam_tally2 模块，如果不支持 pam_tally2 可以使用 pam_tally 模块。另外，不同的pam版本，设置可能有所不同，具体使用方法，可以参照相关模块的使用规则。

按 Esc 键退出编辑， 后按 ：wq 保存退出

设置Linux用户连续N次输入错误密码进行登陆时，自动锁定X分钟(pam_tally2)

测试系统 ：Asianux 3.0 sp2 x86

kernel ： 2.6.18-128.7

pam版本：pam-0.99.6.2-4.1AXS3

*** 作方法：

一、在字符终端下，实现某一用户连续错误登陆N次后，就锁定该用户X分钟。

执行 vi /etc/pam.d/login

在#%PAM-1.0 下新起一行，加入

auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10

如果不限制root用户，则可以写成

auth required pam_tally2.so deny=3 unlock_time=5

使用下面命令，查看系统是否含有pam_tally2.so模块，如果没有就需要使用pam_tally.so模块，两个模块的使用方法不太一样，需要区分开来。

编辑系统/etc/pam.d/system-auth 文件，一定要在pam_env.so后面添加如下策略参数：

上面只是限制了从终端su登陆，如果想限制ssh远程的话，要改的是/etc/pam.d/sshd这个文件，添加的内容跟上面一样！

编辑系统/etc/pam.d/sshd文件，注意添加地点在#%PAM-1.0下一行，即第二行添加内容

ssh锁定用户后查看：

编辑系统 /etc/pam.d/login 文件，注意添加地点在#%PAM-1.0的下面,即第二行，添加内容

tty登录锁定后查看：

编辑 /etc/pam.d/remote文件，注意添加地点在pam_env.so后面,参数和ssh一致

---