Linux設置用戶密碼輸入錯誤的最大次數
規則描述:設置口令認證失敗后的鎖定策略 為了保障用戶系統的安全,建議用戶設置口令出錯次數的閾值,以及由于口令嘗試被鎖定用戶的自動解鎖時間。用戶鎖定期間,任何輸入被判定為無效,鎖定時間不因用戶的再次輸入而重新計時;解鎖后,用戶的錯誤輸入記錄被清空。通過上述設置可以有效防范口令被暴力破解,增強系統的安全性。
修改方法:例如設置口令最大的出錯次數 5 次,系統鎖定后的解鎖時間為 180 秒 在配置文件/etc/pam.d/system-auth 和/etc/pam.d/password-auth 中添加
auth required pam_faillock.so preauth audit silent deny=5 unlock_time=180
auth [success=1 default=bad] pam_unix.so
auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=180
auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=180
pam_faillock.so 配置項說明
- authfail:捕獲用戶登錄失敗的事件
- deny=5:用戶連續登錄失敗次數超過 5 次即被鎖定
- unlock_time=180:普通用戶自動解鎖時間為 180 秒(即 3 分鐘)
- even_deny_root:同樣限制 root 帳戶
修改前:
修改后: