啟用登入失敗處理功能(限制非法登入次數,使用者遠端登入ssh失敗超過N次,鎖定使用者,並設定解鎖時間)
配置:
在第一行#%PAM-1.0的下面,即第二行,新增如下方程式碼,一定要寫第二行,如果寫在下面,雖然使用者被鎖定,但是隻要使用者輸入正確的密碼,還是可以登入的!
[root@iZ2efwr6c3dZ tmp]# vim /etc/pam.d/sshd
#%PAM-1.0
auth required pam_tally2.so deny=3 unlock_time=300
解釋:
deny:設定普通使用者連續錯誤登陸的最大次數,超過最大次數,則鎖定該使用者
(注意:預設只限制普通使用者,不包括root,如果需要對root使用者也生效的話,需加even_deny_root root_unlock_time=N)
unlock_time:設定普通使用者鎖定後,多少時間後解鎖,單位是秒;
注意:
使用者鎖定期間,無論在輸入正確還是錯誤的密碼,都將視為錯誤密碼,並以最後一次登入為鎖定起始時間,若果使用者解鎖後輸入密碼的第一次依然為錯誤密碼,則再次重新鎖定。
檢視使用者失敗次數
[root@localhost ~]# pam_tally2 ——————–檢視所有使用者登入失敗次數
[root@localhost ~]# pam_tally2 –user root ————指定檢視登入失敗的使用者次數
解鎖指定使用者
[root@iZ25dsfp6c3dZ ~]# pam_tally2 -r -u albert
本作品採用《CC 協議》,轉載必須註明作者和本文連結