Linux如何用戶連續N次登陸失敗時自動鎖定

小編給大家分享一下Linux如何用戶連續N次登陸失敗時自動鎖定，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

pam_tally

1、如果想在所有登陸方式上，限制所有用戶，可以在 /etc/pam.d/system-auth 中增加2行

1 auth required pam_tally.so onerr=fail no_magic_root

2 account required pam_tally.so deny=3 no_magic_root even_deny_root_account per_user reset 
==================================================================================
經過測試貌似上面2行不會鎖定用戶，只會提示登錄錯誤次數（faillog -u  username）
修改后會鎖定賬戶，但是不同通過faillog查看登錄失敗次數，只能通過pam_tally2 -u username 查看  手動解鎖：pam_tally2 -u username --reset 不能用faillog -r解鎖
auth required pam_tally2.so onerr=fail deny=2  no_magic_root
#account required pam_tally2.so deny=2 no_magic_root
      1 deny 設置普通用戶和root用戶連續錯誤登陸的最大次數，超過最大次數，則鎖定該用戶；

2 no_magic_root 連root用戶也在限制范圍，不給root特殊權限。

3 詳細參數的含義，參見 /usr/share/doc/pam-xxxx/txts/README.pam_tally

如果不想限制root用戶，可以將 even_deny_root_account 取消掉。

2、針對不同服務來限制不同登陸方式：
只在本地文本終端上做限制，可以編輯如下文件，添加的內容和上方一樣。
vi /etc/pam.d/login

只在圖形化登陸界面上做限制，可以編輯如下文件，添加的內容和上方也一樣。
vi /etc/pam.d/kde

只在遠程telnet、ssh登陸上做限制，可以編輯如下文件，添加的內容和上方也一樣。
vi /etc/pam.d/remote
vi /etc/pam.d/sshd

3、手動解除鎖定：
查看某一用戶錯誤登陸次數：
pam_tally –user

例如，查看work用戶的錯誤登陸次數：
pam_tally –user work

清空某一用戶錯誤登陸次數：
pam_tally –user –reset

例如，清空 work 用戶的錯誤登陸次數，
pam_tally –user work –reset

faillog -r 命令亦可。

4、pam_tally沒有自動解鎖功能
因為pam_tally沒有自動解鎖的功能，所以，在設置限制時，要多加注意，萬一全做了限制，而root用戶又被鎖定了，就只能夠進單用戶模式解鎖了，當然，也可以添加crontab任務，達到定時自動解鎖的功能，但需要注意的是，如果在/etc/pam.d/system-auth 文件中添加了pam_tally的話，當root被鎖定后，crontab任務會失效，所以，最好不要在system-auth 文件中添加pam_tally。

5、添加crontab任務
root用戶執行 crontab -e 命令，添加如下內容

2 */1 * * * * /usr/bin/faillog -r

意思是，每1分鐘，將所有用戶登陸失敗的次數清空，并將所有用戶解鎖。

以上是“Linux如何用戶連續N次登陸失敗時自動鎖定”這篇文章的所有內容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內容對大家有所幫助，如果還想學習更多知識，歡迎關注億速云行業資訊頻道！