|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
欢迎大家来到仓酷云论坛!Linux有一个pam_tally2.so的PAM模块,来限制用户的登录失利次数,假如次数到达设置的阈值,则锁定用户。
编译PAM的设置文件
#vim/etc/pam.d/login- #%PAM-1.0authrequiredpam_tally2.sodeny=3lock_time=300even_deny_rootroot_unlock_time=10auth[user_unknown=ignoresuccess=okignoreignore=ignoredefault=bad]pam_securetty.soauthincludesystem-authaccountrequiredpam_nologin.soaccountincludesystem-authpasswordincludesystem-auth#pam_selinux.socloseshouldbethefirstsessionrulesessionrequiredpam_selinux.soclosesessionoptionalpam_keyinit.soforcerevokesessionrequiredpam_loginuid.sosessionincludesystem-authsessionoptionalpam_console.so#pam_selinux.soopenshouldonlybefollowedbysessionstobeexecutedintheusercontextsessionrequiredpam_selinux.soopen
- even_deny_root也限定root用户;deny设置一般用户和root用户一连毛病上岸的最年夜次数,凌驾最年夜次数,则锁定该用户unlock_time设定一般用户锁定后,几工夫后解锁,单元是秒;root_unlock_time设定root用户锁定后,几工夫后解锁,单元是秒;此处利用的是pam_tally2模块,假如不撑持pam_tally2可使用pam_tally模块。别的,分歧的pam版本,设置大概有所分歧,详细利用***,能够参拍照关模块的利用划定规矩。
在#%PAM-1.0的上面,即第二行,增加内容,必定要写在后面,假如写在前面,固然用户被锁定,可是只需用户输出准确的暗码,仍是能够登录的!
最后的效果以下图
这个只是限定了用户从tty登录,而没无限制近程登录,假如想限定近程登录,必要改SSHD文件
#vim/etc/pam.d/sshd
- #%PAM-1.0authrequiredpam_tally2.sodeny=3unlock_time=300even_deny_rootroot_unlock_time=10authincludesystem-authaccountrequiredpam_nologin.soaccountincludesystem-authpasswordincludesystem-authsessionoptionalpam_keyinit.soforcerevokesessionincludesystem-authsessionrequiredpam_loginuid.so
检察用户登录失利的次数
- [root@node100pam.d]#pam_tally2--userredhatLoginFailuresLatestfailureFromredhat707/16/1215:18:22tty1
- [root@node100pam.d]#pam_tally2-r-uredhatLoginFailuresLatestfailureFromredhat707/16/1215:18:22tty1
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们! |
|
|Archiver|手机版|仓酷云
鄂ICP备14007578号-2
发表于 2015-1-14 21:12:46
收藏
转播
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜