linux中可以使用pam的pam_tally2.so模块来实现。
linux对账户的锁定功能比windows的要更加广泛,强大,windows组策略中的限制,只是在系统层面的限制,而linux借助pam(Pluggable Authentication Modules,插件式认证模块)的强大,不单止可以系统层面实现,还能在各中支持pam的应用中实现这种安全锁定策略。
su 多次切换失败后锁定用户
1 2 3 | vi /etc/pam.d/system-auth auth required pam_env.so auth required pam_tally2.so even_deny_root deny=3 unlock_time=120 |
注意:
1、顺序不要错,一定要在pam_env.so后面
2、deny:拒绝次数
3、even_deny_root:包含root用户
4、unlock_time:解锁时间 root_unlock_time:root账户解锁时间
SSH方式登录错误的限制
在文件/etc/pam.d/sshd
添加auth required pam_tally2.so deny=5 unlock_time=300
注意添加地点在 #%PAM-1.0 下一行
TELNET用户限制
在文件/etc/pam.d/remote中修改,方式与SSH一样
注意:
1、顺序不要错,一定要在pam_env.so后面
2、deny:拒绝次数
3、even_deny_root:包含root用户
4、unlock_time:解锁时间
手动解锁
pam-tally2 –u 账号 查看失败登录
pam-tally2 –u 账号 –r 清楚失败登录后可以登录
转载于:https://blog.51cto.com/aaronwa/939625