linu用户登录失败n次锁定用户(几分钟后该用户再自动解锁)

《linu用户登录失败n次锁定用户(几分钟后该用户再自动解锁)》由会员分享，可在线阅读，更多相关《linu用户登录失败n次锁定用户(几分钟后该用户再自动解锁)（6页珍藏版）》请在装配图网上搜索。

1、linux用户登录失败N次，锁定用户（几分钟后该用户再自动解锁）1. 确定使用PAM_TALLY2SO模块还是PAM_TALLYSO模块12. 使用PAM_TALLY2SO模块限制用户登录失败N次锁定用户（几分钟后自动解锁）.12.1. 远程SSH登录限制方法（常用）12.2. 查看用户登录失败的次数并解锁命令22.3. SUSELINUX 多次登录失败锁定用户及解锁 22.4. 手动锁定用户禁止使用 32.5. 本地字符终端登录限制方法（不常用）32.6. 本地图形登录限制方法（不常用）43. 使用PAM_TALLYSO模块限制用户登录失败N次锁定用户（几分钟后自动解锁）.44.1. 如果想

2、在所有登陆方式上，限制所有用户44.2. 只在本地文本终端上做限制44.3. 只在图形化登陆界面上做限制，54.4. 只在远程 TELNET、SSH 登陆上做限制 54.5. 3、手动解除锁定： 54.6. PAMTALLY 没有自动解锁功能54.7. 添加crontab任务（达到定时自动解锁的功能）51. 确定使用pam_tally2.so模块还是pam_tallyso模块使用下面命令，查看系统是否含有pam_tally2.so模块，如果没有，就需要使用pam_tally.so模块, 两个模块的使用方法不太一样，需要区分开来。panLtaHyZ. sopanLtal ly. sorciot迅

3、rEcihat石 #门d i namerooteredhat6 #rooteredhat6 1#/I i b64/security/paniL_.tal 1 yZ?SQ| rooteredhat6 find /lib* -iname2.使用pam_tally2so模块限制用户登录失败N次锁定用户（几分钟后自动解锁）Linux有一个pam_tally2so的PAM模块，来限定用户的登录失败次数，如果次数达到设置 的阈值，则锁定用户。2.1. 远程ssh登录限制方法（常用）如果想限制远程登录，需要改SSHD文件（可以只限制远程登录而不限制tty登录即只对sshd文件增加此限制），在#%PAM-10

4、的下面，即第一行，添加内容， 定要写在前面，如果写在后面，虽然用户被锁定，但是只要用户输入正确的密码，还是可以登录的！rootredhat6 cat /etc/pa皿.d/sshdDam_tany2. sodeniy=3|3jinil ock_ti me=300 aam_sepenrrit so =Dassword-authDam_nologi n. soDassword-authDasswod-Quthiou d be the first sessi onul e#%PAM-1.0au t h|r e q u 1mdauthrequiEdauthimcludeaccountrequie日ac

5、countincludepasswodimclude# pam-seli muxso cl osesessionrequiEdsessionrequiEd# pam_seli muxso opensessi onrequiredsessionopfi omalsessionimcluderootredhat6.pam_selinux so close pam_loginuid soshould only be followed by sessions to be executed in the usecontext pam_seli nuxso open env_params pam_keyi

6、nitso force revokepass wocl - Qu th失败效果（远程ssh登录；这个远程ssh的时候，没有提示，我用的是Xshell,不知道其它 终端有没提示，只要超过设定的值，输入正确的密码也是登陆不了的!）如下：也可以直接在system-auth文件中直接添加这些命令，修改完成后，凡是调用system-auth文件的服 务，都会生效。因为有自动解锁时间，所以，不用担心全部限制后，会出现永远无法登陆的尴尬”情况。2.2. 查看用户登录失败的次数并解锁命令12rootrdhatis pam. d# pam_taTly2 Hauser | or&cl 史FromLogl nrac

7、leroot(& rEcihiitELogl nracleroot rEclhiitELogi nracleroot rEclhiit 月Logi n oracleLatest failure09/04/14 13:56:03 |192.168.111.1 pam. d# panutallyZ 一一user acleFai1urE5 Latest fai1urm From14Qg/04/14- 13:57 :1pam. d# pam_taTly2 l-r -u Iacl eFailures Latest fai1urm From pA pam. dj# pann_taTly2 一一user a

8、cl eFai 1_Lir.es Latest fai 1 urm From2.3. Suse Linux 多次登录失败锁定用户及解锁在服务器端以root用户登录 执行命令：# faillog - a/查看用户登录错误次数如果超过三次的话，用户不能登录并且此后登录用户错误登录次数还是会增加。 在登录错误次数不满三次时，登录成功后，则这个用户登录错误值将清零，退出后重新telnet 登录将采用新的计数。# faillog -u user - r/清空指定用户user的错误登录次数# faillog - r/清空所有用户错误登录次数/var/log/faillog会自动生成，里边记录用户登录失败次

9、数等信息2.4. 手动锁定用户禁止使用可以用 usermod 命令来锁定用户密码，使密码无效，该用户名将不能使用 锁定命令： usermod -L 用户名解锁命令：usermod -U用户名2.5. 本地字符终端登录限制方法（不常用）一、|在宁符终端下|实现某一用户连续错误登陆N次后，就锁定该用户X分铀。 执行 vi /etc/pam.d/logiri在#%PAM-1.0 T新起一行，加入auth required pam_tally2.so deny=3 unlock_time=5ot root_unIot!_time = 1 Ci如果不限制rootffl户，贝i可以写成auth requi

10、red pam_tally2.so deny=3 unlock_time=5其中犬槪含丈如下：etfen_denv_-oct也限制 Put用户；deny设蛊普通用户和飞毗用户连续错误登陆的最犬次數，超讨最犬次數，则锁定该用 户；unlcck_time设走普通用户锁定后，參少时间后解锁，单位是秒；-cctunlccktime设走-uct用户锁定启，參少时冏启懈锁，单i立是秒；此处使用的是pam_tally2如果不支持pam_tally2可以使用pam_tallyo另外，不同的“巾版本，设置可能有所不同，具体使用方法，可以蜃照相关模块的使用规则。rootredhat6 # cat /etc/pam

11、.cl/logrn#%PAN1-1.0auth ECiJi电日 1书2 soL_peniy=3jl ock_ti me=300system-auth _pam_nologin sosystem-authsystem-authshould be the first session rylepam_seli nuxso closepam_logi nui d.sopam_console soshould only be fol 1 owed by sessions to be executed in the usecontext pam_seli nuxso openpam_namespace s

12、opam_keyinitso force revokesystem-authpam_ck_connecto soauth user_unknowni=i gno电 success=ok i gmoe=ignoe def ault=bad pam_securetty so authinclude accountrequiredaccountincludepasswordinclude# pam_seli nuxso closesessi onrequiredsessi onrequieUsessi onoptionalrequired required optional include opti

13、 omal# pam_seli nuxso opensessi on *1sessi onsessi onsessi on-sessi on .rootredhat6 #在#%PAM-1.0的下面，即第二行，添加内容，一定要写在前面，如果写在后面，虽然用户 被锁定，但是只要用户输入正确的密码，还是可以登录的！ 失败效果（tty登录）如下图:Red Hat Enterprise Linux Server release 6.4 (Santiago)Kerne 1 2.6.32-358.e16.x86_64 on an x86_64redhatb login： oracleAccount temp

14、orary locked (Z64 seconds left) Password:Login incorrectlogin： oracleAccount temporary locked CZ46 seconds left)Password:Login incorrectlogin： oracleAccount temporary locked (Z38 seconds left)Password:Login incorrectlogin：2.6. 本地图形登录限制方法（不常用）二、在圏形登陆畀呼1实秒某一用户连续错误登陆N次后,裁锁定该用户X分钟。执行 vi /etc/pani.c/kde在

15、#%PAM-1.0T新起一行,加入auth required pami_tally2.so UwEn_clEriY_root|clEn=3 unlock_time=5 卜。ot_u门Ime = 10如果不限制rootffl户，则可以写成auth required pami_tally2.so deny =3 unlock_tinie=53.使用pam_tallyso模块限制用户登录失败N次锁定用户（几分钟后自动解锁）4.1.如果想在所有登陆方式上，限制所有用户可以在 /etc/pam.d/system-auth 中增加 2 行 如果不想限制root用户，可以将even_deny_root_ac

16、count取消掉。auth equi-ed pam_tally.so cne-=fail nc_magic_-oct acccLint equi-ed pam_tally. so |denw = ：5nc_magic_-oct even_deny_-oot_acccLint pe-_Lise- -ese t幕眾聲閃翠勰蠶翳響譎嘛r帧眦定覩户 详细蜃數的含义，蜃见,us-/sha-e/dcc/pam- kkkk/tKts/README . pam_tally42只在本地文本终端上做限制可以编辑如下文件，添加的内容和上方一样。vi /etc/pam.d/login4.3.只在图形化登陆界面上做限制

17、，可以编辑如下文件，添加的内容和上方也一样。vi /etc/pam.d/kde44只在远程telnet、ssh登陆上做限制可以编辑如下文件，添加的内容和上方也一样。vi /etc/pam.d/remotevi /etc/pam.d/sshd453、手动解除锁定：查看某一用户错误登陆次数：查看wo rk用户的错误登陆次数：pam_tally -user work清空某一用户错误登陆次数：清空work用户的错误登陆次数，pam_tally -user work -resetfaillog -r命令亦可。4.6. pam_tally没有自动解锁功能因为pam_tally没有自动解锁的功能，所以，在设

18、置限制时，要多加注意，万一全做了限制，而root用 户又被锁定了，就只能够进单用户模式解锁了，当然，也可以添加crontab任务，达到定时自动解锁的功 能，但需要注意的是，如果在/etc/pam.d/system-auth文件中添加了 pam_tally的话，当root被锁 定后，crontab任务会失效，所以，最好不要在system-auth文件中添加pam_tally。47添加crontab任务（达到定时自动解锁的功能） root用户执行crontab -e命令，添加如下内容HAI_TO=:|=/1:=:yusr/bin/faillog -意思是，每1分钟，将所有用户登陆失败的次数清空，并将所有用户解锁。