Linux使用PAM鎖定屢次登錄失敗的用戶

Linux有一個pam_tally2.so的PAM模塊，來限定用戶的登陸失敗次數，若是次數達到設置的閾值，則鎖定用戶。

編譯PAM的配置文件

# vim /etc/pam.d/login
1.#%PAM-1.0
2.auth      required  pam_tally2.so   deny=3  lock_time=300 even_deny_root root_unlock_time=10
3.auth [user_unknown=ignore success=ok ignoreignore=ignore default=bad] pam_securetty.so
4.auth       include      system-auth
5.
6.account    required     pam_nologin.so
7.account    include      system-auth
8.password   include      system-auth
9.# pam_selinux.so close should be the first session rule
10.session    required     pam_selinux.so close
11.session    optional     pam_keyinit.so force revoke
12.session    required     pam_loginuid.so
13.session    include      system-auth
14.session    optional     pam_console.so
15.# pam_selinux.so open should only be followed by sessions to be executed in the user context
16.session    required     pam_selinux.so open

各參數解釋

1.even_deny_root    也限制root用戶；
2.
3.deny           設置普通用戶和root用戶連續錯誤登錄的最大次數，超過最大次數，則鎖定該用戶
4.
5.unlock_time        設定普通用戶鎖定後，多少時間後解鎖，單位是秒；
6.
7.root_unlock_time      設定root用戶鎖定後，多少時間後解鎖，單位是秒；
8.
9.此處使用的是 pam_tally2 模塊，若是不支持 pam_tally2 可使用 pam_tally 模塊。另外，不一樣的pam版本，設置可能有所不一樣，具體使用方法，能夠參照相關模塊的使用規則。

本篇文章來源於 Linux公社網站(www.linuxidc.com)  原文連接：http://www.linuxidc.com/Linux/2012-07/65550.htm