linux查询锁定时间 Linux限制远程登陆尝试密码次数及锁定时间

CentOS中有一个pam_tally2.so的PAM模块，来限定用户的登陆失败次数，若是次数达到设置的阈值，则锁定用户。

一、编译PAM的配置文件

[root@node2 ~ ]# vim /etc/pam.d/loginnode

#%PAM-1.0

auth required pam_tally2.so deny=3 unlock_time=100 even_deny_root root_unlock_time=200

auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so

auth substack system-auth

auth include postlogin

account required pam_nologin.so

account include system-auth

password include system-auth

# pam_selinux.so close should be the first session rule

session required pam_selinux.so close

session required pam_loginuid.so

session optional pam_console.so

# pam_selinux.so open should only be followed by sessions to be executed in the user context

session required pam_selinux.so open

session required pam_namespace.so

session optional pam_keyinit.so force revoke

session include system-auth

session include postlogin

-session optional pam_ck_connector.so

各参数介绍：linux

even_deny_root 也限制root用户；

deny 设置普通用户和root用户连续错误登录的最大次数，超过最大次数，则锁定该用户

unlock_time 设定普通用户锁定后，多少时间后解锁，单位是秒；

root_unlock_time 设定root用户锁定后，多少时间后解锁，单位是秒；

此处使用的是 pam_tally2 模块，若是不支持 pam_tally2 能够使用 pam_tally 模块。另外，不一样的pam版本，设置可能有所不一样，具体使用方法，能够参照相关模块的使用规则。

在#%PAM-1.0的下面，即第二行，添加内容，必定要写在前面，若是写在后面，虽然用户被锁定，可是只要用户输入正确的密码，仍是能够登陆的！web

添加参数介绍：设置密码尝试错误三次，普通用户和root用户都进行锁定，普通用户锁定100秒，root用户锁定200秒

/etc/pam.d/login —最终配置图：

二、这个只是限制了用户从tty登陆，而没有限制远程登陆，若是想限制远程登陆，须要改sshd文件

[root@node2 ~ ]# vim /etc/pam.d/sshdshell

#%PAM-1.0

auth required pam_tally2.so deny=3 unlock_time=100 even_deny_root root_unlock_time=200

auth required pam_sepermit.so

auth substack password-auth

auth include postlogin

# Used with polkit to reauthorize users in remote sessions

-auth optional pam_reauthorize.so prepare

account required pam_nologin.so

account include password-auth

password include password-auth

# pam_selinux.so close should be the first session rule

session required pam_selinux.so close

session required pam_loginuid.so

# pam_selinux.so open should only be followed by sessions to be executed in the user context

session required pam_selinux.so open env_params

session required pam_namespace.so

session optional pam_keyinit.so force revoke

session include password-auth

session include postlogin

# Used with polkit to reauthorize users in remote sessions

-session optional pam_reauthorize.so prepare

一样是增长在第2行！

查看用户登陆失败的次数:vim

[root@node2 ~ ]# pam_tally2 --user

Login Failures Latest failure From

aihuidi 6 06/20/19 10:11:07 192.168.200.186 在186这个ip上有个普通用户aihuidi登陆失败

[root@node2 ~ ]#

解锁指定用户:session

[root@node2 ~ ]# pam_tally2 -r -u aihuidi 解锁aihuidi用户

Login Failures Latest failure From

aihuidi 6 06/20/19 10:11:07 192.168.200.186

[root@node2 ~ ]# pam_tally2 --user 在进行查看用户登陆失败次数

[root@node2 ~ ]#

ps：这个远程ssh的时候，输入密码错误超过三次可是没有提示，我用的是Xshell，不知道其它终端有没有提示，可是只要超过设定的值，输入正确的密码也是登录不了的！，仍是要等到设定的时间在从新尝试输入正确密码进行登陆认证ssh

如果觉得《linux查询锁定时间 Linux限制远程登陆尝试密码次数及锁定时间》对你有帮助，请点赞、收藏，并留下你的观点哦！