系统加固,新版本变成使用这个了,pam_tally2模块不能用。
pam_faillock.so 是一个 PAM 模块,用于在 Linux 系统中实施账户锁定策略,以防止暴力破解登录。它的作用是监控登录失败次数,当密码输入错误次数超过阈值时,会自动锁定用户账户。即使输入正确的密码,也无法登录,直到解除锁定。
以下是关于 pam_faillock.so 的详细介绍和使用方法:
faillock.conf配置文件:位于
/etc/security/faillock.conf。可以设置
pam_faillock模块的各项参数的默认值。例如,您可以配置存储用户登录失败记录的位置、是否纳入不存在的用户、是否输出信息等。
PAM 配置文件:
需要在
/etc/pam.d/common-auth和/etc/pam.d/common-account两个文件中添加一些设置。在
/etc/pam.d/common-auth中,您可以设置pam_faillock模块的认证规则。在
/etc/pam.d/common-account中,您可以设置pam_faillock模块的账户管理规则。
生效方式:
更改配置文件后,系统会立即生效。
如果某个用户登录失败次数过多,就会被自动封锁。封锁的记录可以在
/var/log/auth.log中查看。
查询和解除封锁:
使用
faillock命令可以查询pam_faillock.so认证失败的记录。使用
faillock --user 用户名 --reset可以解除特定用户的封锁。