Linux 配置帳戶鎖定策略

 linux中能夠使用pam的pam_tally2.so模塊來實現。

　　linux對帳戶的鎖定功能比windows的要更加普遍，強大，windows組策略中的限制，只是在系統層面的限制，而linux藉助pam(Pluggable Authentication Modules，插件式認證模塊)的強大，不單止能夠系統層面實現，還能在各中支持pam的應用中實現這種安全鎖定策略。

su 屢次切換失敗後鎖定用戶

1 2 3

vi /etc/pam.d/system-auth auth required pam_env.so auth required pam_tally2.so even_deny_root deny=3 unlock_time=120

注意:
1、順序不要錯，必定要在pam_env.so後面
2、deny：拒絕次數
3、even_deny_root：包含root用戶
4、unlock_time：解鎖時間 root_unlock_time:root帳戶解鎖時間

SSH方式登陸錯誤的限制

在文件/etc/pam.d/sshd

 

添加auth       required     pam_tally2.so  deny=5 unlock_time=300

注意添加地點在 #%PAM-1.0  下一行

TELNET用戶限制

在文件/etc/pam.d/remote中修改，方式與SSH同樣

注意:
1、順序不要錯，必定要在pam_env.so後面
2、deny：拒絕次數
3、even_deny_root：包含root用戶
4、unlock_time：解鎖時間

手動解鎖

 pam-tally2 –u 帳號    查看失敗登陸

 pam-tally2 –u 帳號 –r    清楚失敗登陸後能夠登陸