一、本文主要实现
在centos8.0 环境下设置,输入密码错误3次,锁定用户3分钟。
二、实验环境
centos8.0。rh系统可做参考。centos7配置和centos8不一样,这里不概述。
三、说明
1、pam_tally2模块在centos8后已淘汰掉,centos8用pam_faillock 模块替换。
2、设置的是密码错误3次就锁住3分钟,不管3次是不是连续输入,只要在一段时间内错误3次就锁住(系统默认好像15分钟内,另外尽管有的博客说是要连续输入,但在centos8.0系统不管是不是连续输入,只要达到3次就会锁住,这点本人亲测,除非写的认证语句不一样这个自己去研究,测试方法写在最后)。
3、锁住一次后,等解锁了,3次会清0;
操作文件
/etc/pam.d/system-auth
/etc/pam.d/password-auth
四、操作
通过 pam_faillock
模块,将登录尝试失败的数据储存在 /var/run/faillock 目录下每位用户的独立文件中
4.1 配置
添加以下命令行到 /etc/pam.d/system-auth 文件和/etc/pam.d/password-auth 文件中的对应区段:
auth required pam_faillock.so preauth silent audit deny=3 unlock_time=300
auth