VPS服務(wù)器centos7下用戶登錄失敗N次后鎖定用戶禁止登陸的方法
針對(duì)linux上的用戶,如果用戶連續(xù)3次登錄失敗,就鎖定該用戶,幾分鐘后該用戶再自動(dòng)解鎖。Linux有一個(gè)pam_tally2.so的PAM模塊,來(lái)限定用戶的登錄失敗次數(shù),如果次數(shù)達(dá)到設(shè)置的閾值,則鎖定用戶。
PAM的配置文件介紹
PAM配置文件有兩種寫(xiě)法:
一種是寫(xiě)在/etc/pam.conf文件中,但centos6之后的系統(tǒng)中,這個(gè)文件就沒(méi)有了。
另一種寫(xiě)法是,將PAM配置文件放到/etc/pam.d/目錄下,其規(guī)則內(nèi)容都是不包含 service 部分的,即不包含服務(wù)名稱,而/etc/pam.d 目錄下文件的名字就是服務(wù)名稱。如: vsftpd,login等.,只是少了最左邊的服務(wù)名列.如:/etc/pam.d/sshd
由上圖可以將配置文件分為四列,
第一列代表模塊類型
第二列代表控制標(biāo)記
第三列代表模塊路徑
第四列代表模塊參數(shù)
1、限制用戶遠(yuǎn)程登錄
在#%PAM-1.0的下面,即第二行,添加內(nèi)容,一定要寫(xiě)在前面,如果寫(xiě)在后面,雖然用戶被鎖定,但是只要用戶輸入正確的密碼,還是可以登錄的!
各參數(shù)解釋
even_deny_root 也限制root用戶;
deny 設(shè)置普通用戶和root用戶連續(xù)錯(cuò)誤登陸的最大次數(shù),超過(guò)最大次數(shù),則鎖定該用戶
unlock_time 設(shè)定普通用戶鎖定后,多少時(shí)間后解鎖,單位是秒;
root_unlock_time 設(shè)定root用戶鎖定后,多少時(shí)間后解鎖,單位是秒;
此處使用的是 pam_tally2 模塊,如果不支持 pam_tally2 可以使用 pam_tally 模塊。另外,不同的pam版本,設(shè)置可能有所不同,具體使用方法,可以參照相關(guān)模塊的使用規(guī)則。
2、限制用戶從tty登錄
在#%PAM-1.0的下面,即第二行,添加內(nèi)容,一定要寫(xiě)在前面,如果寫(xiě)在后面,雖然用戶被鎖定,但是只要用戶輸入正確的密碼,還是可以登錄的!
同樣是增加在第2行!
3、查看用戶登錄失敗次數(shù)
4、解鎖指定用戶