总结:整理不易,如果对你有帮助,可否点赞关注一下?
更多详细内容请参考:Linux运维实战总结
一、背景信息
在ubuntu 22.04中,pam_tally2模块已被弃用,取而代之的是pam_faillock模块。因此,建议使用pam_faillock来实现登录失败处理策略。
以下是如何配置 pam_faillock 模块以满足你的需求。
二、配置目标
deny=10: 用户连续登录失败达到 10 次后锁定账户。
onerr=fail: 如果模块出错,则拒绝登录。
even_deny_root: 即使是 root 用户也会被锁定。
unlock_time=5: 普通用户账户在锁定后 5 秒自动解锁。
root_unlock_time=5: root 用户账户在锁定后 5 秒自动解锁。
三、实现步骤
注意:修改配置文件一定要按照本文中的顺序添加配置,否则配置可能不生效。
3.1、配置pam启用faillock
1、编辑/etc/pam.d/common-auth配置文件
root@ecs-b59d-0320772:~# vim /etc/pam.d/common-auth
auth [default=die] pam_faillock.so authfail
auth sufficient pam_faillock.so authsucc
如下图所示:
2、编辑/etc/pam.d/common-account配置文件
root@ecs-b59d-0320772:~# vim /etc/pam.d/common-account
account required pam_faillock.so
如下图所示:
3.2、配置faillock.conf
root@ecs-b59d-0320772:~# vim /etc/security/faillock.conf
dir = /var/run/faillock
audit
# 输入错误密码几次进行锁定
deny = 10
# 统计时间
fail_interval = 30
# 普通用户锁定5秒
unlock_time = 5
# 启用对root用户的失败锁定
even_deny_root
# 对root用户的失败锁定5秒
root_unlock_time = 5
3.3、查看锁定情况
root@ecs-b59d-0320772:~# faillock
3.4、解锁用户
root@ecs-b59d-0320772:~# faillock --user sdjw --reset
总结:整理不易,如果对你有帮助,可否点赞关注一下?
更多详细内容请参考:Linux运维实战总结
