Linux教程之CentOS怎样锁定屡次上岸失利的用户配置文件,如何,用户

乐观发表于 2015-1-14 20:41:28

Linux教程之CentOS怎样锁定屡次上岸失利的用户

如果您觉得本篇CentOSLinux教程讲得好，请记得点击右边漂浮的分享程序，把好文章分享给你的小伙伴们！CentOS中有一个pam_tally2.so的PAM模块，来限制用户的登录失利次数，假如次数到达设置的阈值，则锁定用户。编译PAM的设置文件
#vim/etc/pam.d/login

[*]#%PAM-1.0
[*]authrequiredpam_tally2.sodeny=3lock_time=300even_deny_rootroot_unlock_time=10
[*]authpam_securetty.so
[*]authincludesystem-auth
[*]
[*]accountrequiredpam_nologin.so
[*]accountincludesystem-auth
[*]passwordincludesystem-auth
[*]#pam_selinux.socloseshouldbethefirstsessionrule
[*]sessionrequiredpam_selinux.soclose
[*]sessionoptionalpam_keyinit.soforcerevoke
[*]sessionrequiredpam_loginuid.so
[*]sessionincludesystem-auth
[*]sessionoptionalpam_console.so
[*]#pam_selinux.soopenshouldonlybefollowedbysessionstobeexecutedintheusercontext
[*]sessionrequiredpam_selinux.soopen
各参数注释

[*]even_deny_root也限定root用户；
[*]
[*]deny设置一般用户和root用户一连毛病上岸的最年夜次数，凌驾最年夜次数，则锁定该用户
[*]
[*]unlock_time设定一般用户锁定后，几工夫后解锁，单元是秒；
[*]
[*]root_unlock_time设定root用户锁定后，几工夫后解锁，单元是秒；
[*]
[*]此处利用的是pam_tally2模块，假如不撑持pam_tally2可使用pam_tally模块。别的，分歧的pam版本，设置大概有所分歧，详细利用***，能够参拍照关模块的利用划定规矩。

在#%PAM-1.0的上面，即第二行，增加内容，必定要写在后面，假如写在前面，固然用户被锁定，可是只需用户输出准确的暗码，仍是能够登录的！
最后的效果以下图

这个只是限定了用户从tty登录，而没无限制近程登录，假如想限定近程登录，必要改SSHD文件
#vim/etc/pam.d/sshd

[*]#%PAM-1.0
[*]authrequiredpam_tally2.sodeny=3unlock_time=300even_deny_rootroot_unlock_time=10
[*]
[*]authincludesystem-auth
[*]accountrequiredpam_nologin.so
[*]accountincludesystem-auth
[*]passwordincludesystem-auth
[*]sessionoptionalpam_keyinit.soforcerevoke
[*]sessionincludesystem-auth
[*]sessionrequiredpam_loginuid.so
一样是增添在第2行！
检察用户登录失利的次数

[*]#pam_tally2--userredhat
[*]LoginFailuresLatestfailureFrom
[*]redhat707/16/1215:18:22tty1
解锁指定用户

[*]#pam_tally2-r-uredhat
[*]LoginFailuresLatestfailureFrom
[*]redhat707/16/1215:18:22tty1
这个近程ssh的时分，没有提醒，我用的是Xshell，不晓得别的终端有没提醒，只需凌驾设定的值，输出准确的暗码也是上岸不了的！
欢迎大家来到仓酷云论坛！

老尸发表于 2015-1-16 21:20:16