如果在 /etc/ssh/sshd_config 文件中设置了“ChallengeResponseAuthentication yes”,pam_tally2 会将一个好的密码计为失败的登录尝试。
问题
pam_tally2.so 模块功能在 ssh 中无法正常工作。如果 pam_tally2 配置为在 3 次登录尝试失败后锁定用户帐户,如下所示
auth required pam_tally2.so deny=3 onerr=fail unlock_time=300
如果在/etc/ssh/sshd_config
文件中启用了 ChallengeResponseAuthentication 选项。
ChallengeResponseAuthentication yes
现在尝试使用用户能够登录的有效密码使用测试用户登录 3 次。但是 pam_tally2 将其计为失败的登录尝试。
在第 4 次登录尝试时,用户无法登录,因为已达到最大登录失败次数限制,因此帐户被锁定。
[root@test ~]# ssh localuser1@host.example.com
Your account is locked. Maximum amount of failed attempts was reached.
Password: