這篇文章主要介紹了CentOS如何使用PAM鎖定多次登陸失敗的用戶，具有一定借鑒價值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

東港網(wǎng)站建設(shè)公司成都創(chuàng)新互聯(lián),東港網(wǎng)站設(shè)計制作，有大型網(wǎng)站制作公司豐富經(jīng)驗。已為東港成百上千家提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\外貿(mào)網(wǎng)站制作要多少錢，請找那個售后服務(wù)好的東港做網(wǎng)站的公司定做！

Linux有一個pam_tally2.so的PAM模塊，來限定用戶的登錄失敗次數(shù)，如果次數(shù)達(dá)到設(shè)置的閾值，則鎖定用戶。

編譯PAM的配置文件

# vim /etc/pam.d/login

#%PAM-1.0 
auth      required  pam_tally2.so   deny=3lock_time=300 even_deny_root root_unlock_time=10
auth [user_unknown=ignoresuccess=okignoreignore=ignore default=bad] pam_securetty.so 
auth       include      system-auth 
account    required     pam_nologin.so 
account    include      system-auth 
password   include      system-auth 
# pam_selinux.so close should be the first session rule 
session    required     pam_selinux.so close 
session    optional     pam_keyinit.so force revoke 
session    required     pam_loginuid.so 
session    include      system-auth 
session    optional     pam_console.so 
# pam_selinux.so open should only be followed by sessions to be executed in the user context 
session    required     pam_selinux.so open

各參數(shù)解釋

even_deny_root    也限制root用戶； 
deny           設(shè)置普通用戶和root用戶連續(xù)錯誤登陸的最大次數(shù)，超過最大次數(shù)，則鎖定該用戶 
unlock_time        設(shè)定普通用戶鎖定后，多少時間后解鎖，單位是秒； 
root_unlock_time      設(shè)定root用戶鎖定后，多少時間后解鎖，單位是秒； 
此處使用的是 pam_tally2 模塊，如果不支持 pam_tally2 可以使用 pam_tally 模塊。另外，不同的pam版本，設(shè)置可能有所不同，具體使用方法，可以參照相關(guān)模塊的使用規(guī)則。

在#%PAM-1.0的下面，即第二行，添加內(nèi)容，一定要寫在前面，如果寫在后面，雖然用戶被鎖定，但是只要用戶輸入正確的密碼，還是可以登錄的！

最終效果如下圖

這個只是限制了用戶從tty登錄，而沒有限制遠(yuǎn)程登錄，如果想限制遠(yuǎn)程登錄，需要改SSHD文件

# vim /etc/pam.d/sshd

#%PAM-1.0 
auth          required        pam_tally2.so        deny=3unlock_time=300 even_deny_root root_unlock_time=10
auth       include      system-auth 
account    required     pam_nologin.so 
account    include      system-auth 
password   include      system-auth 
session    optional     pam_keyinit.so force revoke 
session    include      system-auth 
session    required     pam_loginuid.so

同樣是增加在第2行！

查看用戶登錄失敗的次數(shù)

[root@node100 pam.d]# pam_tally2 --user redhat 
Login           Failures Latest failure     From 
redhat              7    07/16/12 15:18:22  tty1

解鎖指定用戶

[root@node100 pam.d]# pam_tally2 -r -u redhat 
Login           Failures Latest failure     From 
redhat              7    07/16/12 15:18:22  tty1

這個遠(yuǎn)程ssh的時候，沒有提示，我用的是Xshell，不知道其它終端有沒提示，只要超過設(shè)定的值，輸入正確的密碼也是登陸不了的！

感謝你能夠認(rèn)真閱讀完這篇文章，希望小編分享的“CentOS如何使用PAM鎖定多次登陸失敗的用戶”這篇文章對大家有幫助，同時也希望大家多多支持創(chuàng)新互聯(lián)，關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，更多相關(guān)知識等著你來學(xué)習(xí)!