Linux未配置賬戶登入失敗鎖定策略
阿新 • • 發佈:2020-12-04
簡單介紹:
設定連續輸錯5次口令,帳號鎖定5分鐘。 在進行此項安全加固工作前,請先檢查PAM模組版本,搜尋pam_tally2是否存在,如果pam_tally2存在,修改配置檔案。【注意: 各系統配置不一,請根據當前系統進行適當配置,並仔細評估對系統的影響】 修復方案(僅供參考,請勿直接配置): centos 修改配置/etc/pam.d/password-auth(將配置新增到合適的位置): auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300 account required pam_tally2.so ubuntu,debian: 修改配置/etc/pam.d/common-auth(將配置新增到合適的位置): auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300 修改配置/etc/pam.d/common-account引數(將配置新增到合適的位置): account required pam_tally2.so
一、檢視使用者登入錯誤資訊
pam_tally2 -u
root
二、配置
vi/etc/pam.d/system-auth或vi /etc/pam.d/password-auth
新增以下:
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
account required pam_tally2.so
三、解鎖使用者
pam_tally2 -u test -r