關于PAM
Linux-PAM (Pluggable Authentication Modules for Linux)可插拔認證子產品。
https://www.cnblogs.com/klb561/p/9236360.html
#vi /etc/pam.d/system-auth
增加auth required pam_tally2.so deny=6 onerr=fail no_magic_root unlock_time=120
pam_tally/pam_tally2子產品參數:
全局選項 onerr=[succeed|fail] file=/path/to/log 失敗登入日志檔案,預設為/var/log/tallylog audit 如果登入的使用者沒有找到,則将使用者名資訊記錄到系統日志中 silent 不列印相關的資訊 no_log_info 不通過syslog記錄日志資訊 AUTH選項 deny=n 失敗登入次數超過n次後拒絕通路 lock_time=n 失敗登入後鎖定的時間(秒數) unlock_time=n 超出失敗登入次數限制後,解鎖的時間 no_lock_time 不在日志檔案/var/log/faillog 中記錄.fail_locktime字段 magic_root root使用者(uid=0)調用該子產品時,計數器不會遞增 even_deny_root root使用者失敗登入次數超過deny=n次後拒絕通路 root_unlock_time=n 與even_deny_root相對應的選項,如果配置該選項,則root使用者在登入失敗次數超出限制後被鎖定指定時間 |
由于實際使用中使用者被鎖定很麻煩,影響ftp業務,需要設定自動解鎖時間,參數中有兩個選項與鎖定時間有關:
lock_time=n 失敗登入後鎖定的時間(秒數)
unlock_time=n 超出失敗登入次數限制後,解鎖的時間
不知道這倆參數有啥差別,百度到一個文章:
lock_time參數是隻要1次失敗就會鎖60秒,就算我用了deny = 3也是算1失敗就鎖了(測試時用pam_tally2指令看統計就會知道了,失敗幾次它還是呈現1次)
是以要unlock_time = 60搭配deny = 2
http://bbs.51cto.com/thread-1469884-1.html
另外,網上例子中沒有加magic_root選項,是以,最終加強配置為:
# vi /etc/pam.d/system-auth
auth required pam_tally2.so deny=6 onerr=fail unlock_time=1
參數說明:
deny = n代表拒絕存取,如果超過n次
lock_time = n代表1次失敗後就鎖n秒
unlock_time = n代表幾次失敗就鎖n秒,搭配deny = 2就是兩次失敗就鎖n秒
even_deny_root代表也限制root帳号
root_unlock_time = n這個跟unlcok_time一樣,隻是這給給root帳号用,如果要差別一般帳号的話,就可以額外作這個限制
參考:
http://www.361way.com/pam-tally2/4277.html
轉載于:https://www.cnblogs.com/wangziyi0513/p/10761159.html