Linux使用pam_tally2.so模块限制登录失败锁定时间

关于PAM

Linux-PAM (Pluggable Authentication Modules for Linux)可插拔认证模块。

https://www.cnblogs.com/klb561/p/9236360.html

 

#vi /etc/pam.d/system-auth
增加
auth required pam_tally2.so deny=6 onerr=fail no_magic_root unlock_time=120

pam_tally/pam_tally2模块参数:

 

全局选项

onerr=[succeed|fail]

file=/path/to/log   失败登录日志文件,默认为/var/log/tallylog

audit               如果登录的用户没有找到,则将用户名信息记录到系统日志中

silent              不打印相关的信息

no_log_info         不通过syslog记录日志信息

 

AUTH选项

deny=n              失败登录次数超过n次后拒绝访问

lock_time=n         失败登录后锁定的时间(秒数)

unlock_time=n       超出失败登录次数限制后,解锁的时间

no_lock_time        不在日志文件/var/log/faillog 中记录.fail_locktime字段

magic_root          root用户(uid=0)调用该模块时,计数器不会递增

even_deny_root      root用户失败登录次数超过deny=n次后拒绝访问

root_unlock_time=n  与even_deny_root相对应的选项,如果配置该选项,则root用户在登录失败次数超出限制后被锁定指定时间

 

由于实际使用中用户被锁定很麻烦,影响ftp业务,需要设置自动解锁时间,参数中有两个选项与锁定时间有关:

lock_time=n 失败登录后锁定的时间(秒数)

unlock_time=n 超出失败登录次数限制后,解锁的时间

不知道这俩参数有啥区别,百度到一个帖子:

 

lock_time参数是只要1次失败就会锁60秒,就算我用了deny = 3也是算1失败就锁了(测试时用pam_tally2指令看统计就会知道了,失败几次它还是呈现1次)

所以要unlock_time = 60搭配deny = 2

 

http://bbs.51cto.com/thread-1469884-1.html

 

另外,网上例子中没有加magic_root选项,所以,最终加固配置为:

# vi /etc/pam.d/system-auth
auth required pam_tally2.so deny=6 onerr=fail unlock_time=1

 

参数说明:
deny = n代表拒绝存取,如果超过n次
lock_time = n代表1次失败后就锁n秒
unlock_time = n代表几次失败就锁n秒,搭配deny = 2就是两次失败就锁n秒
even_deny_root代表也限制root帐号
root_unlock_time = n这个跟unlcok_time一样,只是这给给root帐号用,如果要区别一般帐号的话,就可以额外作这个限制

 

 

 

参考:

http://www.361way.com/pam-tally2/4277.html

posted on 2019-04-24 11:00  梓沂  阅读(9510)  评论(0编辑  收藏  举报