1.备份要操做的两个配置文件
cp /etc/pam.d/sshd /etc/pam.d/sshd.bak
cp /etc/pam.d/login /etc/pam.d/login.bakweb
2.检查是否有pam_tally2.so模块
[root@iZ25dd99ylmZ security]# find /lib* -iname “pam_tally2.so”
/lib64/security/pam_tally2.so
[root@iZ25dd99ylmZ security]# find /lib* -iname “pam_tally.so”
[root@iZ25dd99ylmZ security]# cat /etc/pam.d/sshdvim
3.登陆失败处理功能策略(服务器终端)
vim /etc/pam.d/system-auth (服务器终端)
在首行#%PAM-1.0下增长:
auth required pam_tally2.so onerr=fail deny=3 unlock_time=40 even_deny_root root_unlock_time=30
注意添加的位置,要写在第一行,即#%PAM-1.0的下面。
以上策略表示:普通账户和 root 的账户登陆连续 3 次失败,就统一锁定 40 秒, 40 秒后能够解锁。若是不想限制 root 账户,能够把 even_deny_root root_unlock_time
这两个参数去掉, root_unlock_time 表示 root 账户的 锁定时间,onerr=fail 表示连续失败,deny=3,表示 超过3 次登陆失败即锁定。
注意&#x