服務器

前言

創(chuàng)新互聯建站堅持“要么做到，要么別承諾”的工作理念，服務領域包括：成都做網站、成都網站設計、企業(yè)官網、英文網站、手機端網站、網站推廣等服務，滿足客戶于互聯網時代的贊皇網站設計、移動媒體設計的需求，幫助企業(yè)找到有效的互聯網解決方案。努力成為您成熟可靠的網絡建設合作伙伴！

針對linux上的用戶，如果用戶連續(xù)3次登錄失敗，就鎖定該用戶，幾分鐘后該用戶再自動解鎖。Linux有一個pam_tally2.so的PAM模塊，來限定用戶的登錄失敗次數，如果次數達到設置的閾值，則鎖定用戶。

PAM的配置文件介紹

PAM配置文件有兩種寫法:

一種是寫在/etc/pam.conf文件中，但centos6之后的系統中，這個文件就沒有了。

另一種寫法是,將PAM配置文件放到/etc/pam.d/目錄下,其規(guī)則內容都是不包含 service 部分的，即不包含服務名稱，而/etc/pam.d 目錄下文件的名字就是服務名稱。如: vsftpd,login等.,只是少了最左邊的服務名列.如:/etc/pam.d/sshd

第一列代表模塊類型 第二列代表控制標記 第三列代表模塊路徑 第四列代表模塊參數

1、限制用戶遠程登錄

在#%PAM-1.0的下面，即第二行，添加內容，一定要寫在前面，如果寫在后面，雖然用戶被鎖定，但是只要用戶輸入正確的密碼，還是可以登錄的！

# vim /etc/pam.d/sshd
#%PAM-1.0
auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=10

各參數解釋

even_deny_root 也限制root用戶； deny 設置普通用戶和root用戶連續(xù)錯誤登陸的次數，超過次數，則鎖定該用戶 unlock_time 設定普通用戶鎖定后，多少時間后解鎖，單位是秒； root_unlock_time 設定root用戶鎖定后，多少時間后解鎖，單位是秒；

此處使用的是 pam_tally2 模塊，如果不支持 pam_tally2 可以使用 pam_tally 模塊。另外，不同的pam版本，設置可能有所不同，具體使用方法，可以參照相關模塊的使用規(guī)則。

2、限制用戶從tty登錄

在#%PAM-1.0的下面，即第二行，添加內容，一定要寫在前面，如果寫在后面，雖然用戶被鎖定，但是只要用戶輸入正確的密碼，還是可以登錄的！

# vim /etc/pam.d/login
#%PAM-1.0
auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10

同樣是增加在第2行！

3、查看用戶登錄失敗次數

#cd /etc/pam.d/
[root@node100 pam.d]# pam_tally2 --user root
Login Failures Latest failure From
root 7 07/16/12 15:18:22 tty1

4、解鎖指定用戶

[root@node100 pam.d]# pam_tally2 -r -u root
Login Failures Latest failure From

總結

以上就是這篇文章的全部內容了，希望本文的內容對大家的學習或者工作具有一定的參考學習價值，如果有疑問大家可以留言交流，謝謝大家對創(chuàng)新互聯的支持。

分享名稱：Centos7下用戶登錄失敗N次后鎖定用戶禁止登陸的方法
當前URL：http://weahome.cn/article/cgjhec.html