标签:登录 required auth session so ssh linux root pam
1、查看有无 pam_tally2 模块
命令:whereis pam_tally2
2、修改配置文件
1、服务器终端(tty登录):
vim /etc/pam.d/system-auth 或 vim /etc/pam.d/login都一样,因为login使用了
system-auth。
文件第一行增加auth required pam_tally2.so onerr=fail deny=3 unlock_time=600 even_deny_root root_unlock_time=600
如果是云服务器,可以不用配置这个
2、ssh远程登录:
vim /etc/pam.d/sshd
文件第一行增加auth required pam_tally2.so onerr=fail deny=3 unlock_time=600 even_deny_root root_unlock_time=600
如果没有/etc/pam.d/sshd文件,则新创建一个就好,直接复制下面的内容即可:
#%PAM-1.0
auth required pam_tally2.so onerr=fail deny=3 unlock_time=600 even_deny_root root_unlock_time=600
auth substack password-auth
auth include postlogin
account required pam_sepermit.so
account required pam_nologin.so
account include password-auth
password include password-auth
## pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
## pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session optional pam_motd.so
session include password-auth
session include postlogin
上面新加的代码表示:普通帐户和root的帐户登录连续3次失败,就锁定10分钟。
如果不想限制root帐户,可以把even_deny_root root_unlock_time这两个参数去掉,root_unlock_time表示root帐户的锁定时间,onerr=fail表示连续失败,deny=3,表示超过3次登录失败即锁定。
用户锁定期间,无论在输入正确还是错误的密码,都将视为错误密码,并以最后一次登录为锁定起始时间,若果用户解锁后输入密码的第一次依然为错误密码,则再次重新锁定。
3、检查vim /etc/ssh/sshd_config文件中是否开启了pam验证,重要!!!
3、重启ssh服务
命令:service sshd restart
4、使用pam_tally2命令检查登录情况
命令:pam_tally2 --user=jsw_audit #查看jsw_audit用户的登录失败情况
命令:pam_tally2 --user=jsw_audit --reset #重置jsw_audit用户的登录失败次数为0,否则超过上面配置的次数后就禁止登录了
标签:登录,required,auth,session,so,ssh,linux,root,pam 来源: https://blog.csdn.net/sumengnan/article/details/114144601
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。