Linux实现限制远程登录尝试密码次数及锁定时间
更新时间:2024年10月15日 10:12:10 作者:爱辉弟啦
在CentOS中,pam_tally2.so模块可以用来限制用户登录失败的次数,并在达到设定的阈值时锁定用户账户,配置文件需正确修改,包括在/etc/pam.d/login和/etc/pam.d/sshd中增加相应配置,此设置可以有效防止未授权的登录尝试
CentOS中有一个pam_tally2.so的PAM模块,来限定用户的登录失败次数,如果次数达到设置的阈值,则锁定用户。
1、编译PAM的配置文件
[root@node2 ~ ]# vim /etc/pam.d/login
#%PAM-1.0 auth required pam_tally2.so deny=3 unlock_time=100 even_deny_root root_unlock_time=200 auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so auth substack system-auth auth include postlogin account required pam_nologin.so account include system-auth password include system-auth # pam_selinux.so close should be the first session rule session required pam_selinux.so close session required pam_loginuid.so session optional pam_console.so # pam_selinux.so open should only be followed by sessions to be executed in the user context session required pam_selinux.so open session required pam_namespace.so session optional pam_keyinit.so force revoke session include system-auth session include postlogin -session optional pam_ck_connector.so
各参数介绍:
even_deny_root:也限制root用户;deny:设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户unlock_time:设定普通用户锁定后,多少时间后解锁,单位是秒;root_unlock_time:设定root用户锁定后,多少时间后解锁,单位是秒;
此处使用的是 pam_tally2 模块,如果不支持 pam_tally2 可以使用 pam_tally 模块。另外,不同的pam版本,设置可能有所不同,具体使用方法,可以参照相关模块的使用规则。
在#%PAM-1.0的下面,即第二行,添加内容,一定要写在前面,如果写在后面,虽然用户被锁定,但是只要用户输入正确的密码,还是可以登录的!
添加参数介绍:
设置密码尝试错误三次,普通用户和root用户都进行锁定,普通用户锁定100秒,root用户锁定200秒
/etc/pam.d/login —最终配置图:
2、这个只是限制了用户从tty登录
而没有限制远程登录,如果想限制远程登录,需要改sshd文件
[root@node2 ~ ]# vim /etc/pam.d/sshd
#%PAM-1.0 auth required pam_tally2.so deny=3 unlock_time=100 even_deny_root root_unlock_time=200 auth required pam_sepermit.so auth substack password-auth auth include postlogin # Used with polkit to reauthorize users in remote sessions -auth optional pam_reauthorize.so prepare account required pam_nologin.so account include password-auth password include password-auth # pam_selinux.so close should be the first session rule session required pam_selinux.so close session required pam_loginuid.so # pam_selinux.so open should only be followed by sessions to be executed in the user context session required pam_selinux.so open env_params session required pam_namespace.so session optional pam_keyinit.so force revoke session include password-auth session include postlogin # Used with polkit to reauthorize users in remote sessions -session optional pam_reauthorize.so prepare
同样是增加在第2行!
- 查看用户登录失败的次数:
[root@node2 ~ ]# pam_tally2 --user Login Failures Latest failure From aihuidi 6 06/20/19 10:11:07 192.168.200.186 在186这个ip上有个普通用户aihuidi登录失败 [root@node2 ~ ]#
- 解锁指定用户:
[root@node2 ~ ]# pam_tally2 -r -u aihuidi 解锁aihuidi用户 Login Failures Latest failure From aihuidi 6 06/20/19 10:11:07 192.168.200.186 [root@node2 ~ ]# pam_tally2 --user 在进行查看用户登录失败次数 [root@node2 ~ ]#
ps:这个远程ssh的时候,输入密码错误超过三次但是没有提示,我用的是Xshell,不知道其它终端有没有提示,但是只要超过设定的值,输入正确的密码也是登陆不了的!
还是要等到设定的时间在重新尝试输入正确密码进行登录认证
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
相关文章
今天小编就为大家分享一篇关于Linux使用Sudo委派权限的文章,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧2018-10-10
这篇文章主要介绍了CentOS配置永久静态IP的流程步骤,在 CentOS 6 中,配置永久 IP 地址需要修改网络配置文件,完成以上步骤后,你的静态 IP 配置就会永久生效,即使重启系统,配置也会保持不变,需要的朋友可以参考下2026-02-02
接上篇,上篇仅安装了Mono本身,并没有安装libgdiplus、gtk-sharp、mod_mono、MonoDevelop 等其他相关的软件。 这篇主要是配置安装libgdiplus。2014-07-07
在Linux操作系统中,有时候跟着教程安装了一些软件,安装成功后,很高兴的准备运行该软件相应命令,但是偶尔会遇到”Command not found…“的提示。原因是因为你安装的软件需要设置环境变量才能运行。接下来跟着小编一起学习在Linux操作系统中修改环境变量的方法。2015-08-08
在Linux系统中,如何找到用户创建的时间呢?下面这篇文章就来给大家介绍了关于在Linux上如何查看用户创建日期的几种方法,文中通过示例代码介绍的非常详细,需要的朋友可以参考借鉴,下面随着小编来一起学习学习吧2018-05-05
本文介绍了Linux系统性能监控的9个常用命令(uptime、dmesg、vmstat、mpstat、pidstat、iostat、free、sar、top),用于查看负载、内存、CPU、IO等状态,帮助排查性能瓶颈2025-05-05
本文介绍了解决Ubuntu E:无法定位软件包问题的步骤,包括备份源文件、修改源列表为清华源或对应的镜像源、更新软件包列表以及重新安装软件包2026-03-03
正则表达式简单来说就是一种行字符串处理的方式,通过一些特殊符号的辅助,可达到搜索、删除、替换等某些特定字符串的处理方式2016-10-10
在Linux部署JAR包后,可通过查看日志定位错误,使用grep命令过滤error信息,egrep和fgrep为扩展功能变体,动态监控日志时,结合tail -f与grep更高效,方便排查问题,此为个人经验分享2025-09-09
Socket通信基于客户端-服务器架构,分为两种主要模式,TCP协议(面向连接)和UDP协议(无连接),下面我们就来看看Linux下实现多进程Socket通信功能具体实现方法吧2025-06-06
最新评论