用linux 5.4系统自身的pam认证,来禁止与解禁用户,步骤如下:
说明:在/etc/pam.d/system-auth里添加相应模版
[root@localhost /]#cd /etc/pam.d/ 进入pam.d目录
[root@localhost pam.d]#vim system-auth 进入system-auth文件里
修改内容如下:
注:如果是一样的环境可以把一下内容直接使用
不同版本的linux 里面的参数是不一样的
说明:在/etc/pam.d/system-auth里添加相应模版
[root@localhost /]#cd /etc/pam.d/ 进入pam.d目录
[root@localhost pam.d]#vim system-auth 进入system-auth文件里
修改内容如下:
注:如果是一样的环境可以把一下内容直接使用
不同版本的linux 里面的参数是不一样的
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth required pam_tally2.so deny=3 onerr=fail no_magic_root unlock_time=120
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_deny.so
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth required pam_tally2.so deny=3 onerr=fail no_magic_root unlock_time=120
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth required pam_deny.so
account required pam_unix.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_permit.so
account sufficient pam_succeed_if.so uid < 500 quiet
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password required pam_deny.so
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
其实,就在第二行加一句:
auth required pam_tally2.so deny=3 onerr=fail no_magic_root unlock_time=120
注:一定要把这句加到第二行!!~~~
auth required pam_tally2.so deny=3 onerr=fail no_magic_root unlock_time=120
注:一定要把这句加到第二行!!~~~
报告总结:这种方法简练,测试效果准确。
测试表:
用户 输入错误密码的次数 是否输入正确密码 是否进入系统 日志报告
测试表:
用户 输入错误密码的次数 是否输入正确密码 是否进入系统 日志报告
0 是 是
test
1 是 是
2 是 是
3 是 否
test
1 是 是
2 是 是
3 是 否
4 是 否
两分钟后:输入正确密码能正常进入系统
转载于:https://blog.51cto.com/peng2jie/234617