Linux实现限制远程登录实验暗码次数及锁定时间

2024-11-4 02:27| 发布者: db4d5a85| 查看: 133| 评论: 0

摘要: 目次1、编译PAM的设置文件2、这个只是限制了用户从tty登录总结CentOS中有一个pam_tally2.so的PAM模块，来限定用户的登录失败次数，假如次数达到设置的阈值，则锁定用户。 1、编译PAM的设置文件 [code][root@node2 ~

1、编译PAM的设置文件

[code][root@node2 ~ ]# vim /etc/pam.d/login[/code] [code]#%PAM-1.0 auth required pam_tally2.so deny=3 unlock_time=100 even_deny_root root_unlock_time=200 auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so auth substack system-auth auth include postlogin account required pam_nologin.so account include system-auth password include system-auth # pam_selinux.so close should be the first session rule session required pam_selinux.so close session required pam_loginuid.so session optional pam_console.so # pam_selinux.so open should only be followed by sessions to be executed in the user context session required pam_selinux.so open session required pam_namespace.so session optional pam_keyinit.so force revoke session include system-auth session include postlogin -session optional pam_ck_connector.so[/code]

各参数先容：

[code]even_deny_root[/code]：也限制root用户；
[code]deny[/code]：设置平常用户和root用户一连错误登岸的最大次数，超过最大次数，则锁定该用户
[code]unlock_time[/code]：设定平常用户锁定后，多少时间后解锁，单位是秒；
[code]root_unlock_time[/code]：设定root用户锁定后，多少时间后解锁，单位是秒；

此处利用的是 pam_tally2 模块，假如不支持 pam_tally2 可以利用 pam_tally 模块。另外，不同的pam版本，设置可能有所不同，详细利用方法，可以参照相干模块的利用规则。

在#%PAM-1.0的下面，即第二行，添加内容，一定要写在前面，假如写在背面，虽然用户被锁定，但是只要用户输入正确的暗码，还是可以登录的！

添加参数先容：

设置暗码实验错误三次，平常用户和root用户都举行锁定，平常用户锁定100秒，root用户锁定200秒

/etc/pam.d/login —最终设置图：

2、这个只是限制了用户从tty登录

而没有限制远程登录，假如想限制远程登录，须要改sshd文件

[code][root@node2 ~ ]# vim /etc/pam.d/sshd[/code] [code]#%PAM-1.0 auth required pam_tally2.so deny=3 unlock_time=100 even_deny_root root_unlock_time=200 auth required pam_sepermit.so auth substack password-auth auth include postlogin # Used with polkit to reauthorize users in remote sessions -auth optional pam_reauthorize.so prepare account required pam_nologin.so account include password-auth password include password-auth # pam_selinux.so close should be the first session rule session required pam_selinux.so close session required pam_loginuid.so # pam_selinux.so open should only be followed by sessions to be executed in the user context session required pam_selinux.so open env_params session required pam_namespace.so session optional pam_keyinit.so force revoke session include password-auth session include postlogin # Used with polkit to reauthorize users in remote sessions -session optional pam_reauthorize.so prepare[/code]

同样是增加在第2行！

查察用户登录失败的次数：

[code][root@node2 ~ ]# pam_tally2 --user Login Failures Latest failure From aihuidi 6 06/20/19 10:11:07 192.168.200.186 在186这个ip上有个平常用户aihuidi登录失败 [root@node2 ~ ]# [/code]

解锁指定用户：

[code][root@node2 ~ ]# pam_tally2 -r -u aihuidi 解锁aihuidi用户 Login Failures Latest failure From aihuidi 6 06/20/19 10:11:07 192.168.200.186 [root@node2 ~ ]# pam_tally2 --user 在举行查察用户登录失败次数 [root@node2 ~ ]# [/code]

ps：这个远程ssh的时候，输入暗码错误超过三次但是没有提示，我用的是Xshell，不知道别的终端有没有提示，但是只要超过设定的值，输入正确的暗码也是登岸不了的！

还是要等到设定的时间在重新实验输入正确暗码举行登录认证

总结

以上为个人经验，盼望能给大家一个参考，也盼望大家多多支持脚本之家。

来源：https://www.jb51.net/server/328790zrk.htm
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

收藏分享邀请

上一篇：Linux修改用户密码使用限期账号到期时间问题下一篇：Docker容器如何开启特权模式

账号		自动登录	找回密码
密码			立即注册

Linux实现限制远程登录实验暗码次数及锁定时间

目次

1、编译PAM的设置文件

2、这个只是限制了用户从tty登录

总结

相关分类