CentOS之pam_tally2

pam_tally2

pam_tally2 是 Pluggable Authentication Modules (PAM) 的一个模块。PAM 是 Pluggable Authentication Modules 的缩写，而 tally 在英语中有”计数”的含义。因此，pam_tally2 可以理解为一个 PAM 模块，用于记录和限制用户认证尝试的次数。
pam_tally2 用于跟踪用户登录失败的次数，并根据配置采取相应的措施，如锁定账户或发出警告。这在增强系统安全性、防止暴力破解攻击时特别有用。
通过配置 pam_tally2，系统管理员可以设置在指定次数的登录失败后锁定账户，或者在用户下次成功登录时提醒他们之前的失败尝试次数。

#修改本地登陆配置
#vi /etc/pam.d/login
#修改ssh登陆配置
vi /etc/pam.d/sshd

#添加如下配置,密码输错3次,每次输入间隔10秒,普通账号锁定5分钟,root账号锁定10分钟
auth required pam_tally2.so deny=3 lock_time=10 unlock_time=300 even_deny_root root_unlock_time=600

#查看账户失败次数
pam_tally2 -u root

#重置失败次数
pam_tally2 -r -u root

pam.d文件夹

Linux 和 Unix 系统中，/etc/pam.d/ 文件夹用于存储 PAM（Pluggable Authentication Modules）的配置文件。每个文件对应系统中一个或多个服务的认证配置。这个目录是 PAM 配置的关键部分，允许系统管理员为不同的服务（如登录、SSH、sudo 等）设置独立的认证策略。
主要特点
• 服务配置：/etc/pam.d/ 目录中的每个文件对应一个服务或应用程序的 PAM 配置。这些配置文件定义了如何处理与该服务相关的身份验证请求。
• 文件命名：配置文件通常以服务名命名，如 login、sshd、sudo 等。这些文件控制特定服务的认证行为。
• 配置格式：每个文件包含一系列 PAM 模块的配置行，定义了使用哪些 PAM 模块及其配置选项。每一行的格式通常为：