1. Comprueba si hay un módulo pam_tally2
Comando: whereis pam_tally2
2. Modifique el archivo de configuración
1. Terminal del servidor (inicio de sesión tty):
vim /etc/pam.d/system-auth o vim /etc/pam.d/login都一样,因为login使用了
system-auth.
Aumento de archivo:
- auth requisite pam_tally2.so onerr = fail deny = 3 unlock_time = 600 even_deny_root root_unlock_time = 600 (después de agregar a password-auth, como se muestra a continuación)
- cuenta requerida pam_tally2.so (después de agregar a postlogin, como se muestra a continuación)
Si es un servidor en la nube, no es necesario configurarlo
2. Inicio de sesión remoto SSH:
vim /etc/pam.d/sshd
Aumento de archivo:
- auth requisite pam_tally2.so onerr = fail deny = 3 unlock_time = 600 even_deny_root root_unlock_time = 600 (después de agregar a password-auth, como se muestra a continuación)
- cuenta requerida pam_tally2.so (después de agregar a postlogin, como se muestra a continuación)
Si no hay un archivo /etc/pam.d/sshd, simplemente cree uno nuevo, simplemente copie el siguiente contenido:
#%PAM-1.0
auth substack password-auth
#必须放在password-auth后面,需要先验证密码再执行过滤,否则ssh还没输密码,错误计数器就会+1
auth requisite pam_tally2.so onerr=fail deny=3 unlock_time=60 even_deny_root root_unlock_time=60
auth include postlogin
#必须增加下面这一行,否则计数器不会在登录成功后清零
account required pam_tally2.so
account required pam_sepermit.so
account required pam_nologin.so
account include password-auth
password include password-auth
## pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
## pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session optional pam_motd.so
session include password-auth
session include postlogin
El código agregado anteriormente significa que el inicio de sesión de la cuenta común y la cuenta raíz falla 3 veces consecutivas y se bloqueará durante 10 minutos.
Si no desea restringir la cuenta raíz, puede eliminar los dos parámetros de even_deny_root root_unlock_time. Root_unlock_time representa el tiempo de bloqueo de la cuenta raíz, onerr = fail representa falla continua, deny = 3, lo que significa que está bloqueado después más de 3 errores de inicio de sesión.
Durante el período de bloqueo del usuario, ya sea que se ingrese la contraseña correcta o incorrecta, se considerará una contraseña incorrecta, y el último inicio de sesión es la hora de inicio del bloqueo. Si el usuario ingresa la contraseña por primera vez después del desbloqueo, la contraseña es todavía incorrecto bloqueo.
3. Compruebe si la autenticación pam está habilitada en el archivo vim / etc / ssh / sshd_config, ¡importante! ! !
3. Reinicie el servicio ssh
Comando: reinicio del sshd del servicio
4. Utilice el comando pam_tally2 para verificar el estado de inicio de sesión
Comando: pam_tally2 --user = jsw_audit #Ver el error de inicio de sesión del usuario jsw_audit
Comando: pam_tally2 --user = jsw_audit --reset #Restablece el número de inicios de sesión fallidos del usuario jsw_audit a 0; de lo contrario, se prohibirá el inicio de sesión después de que se exceda el número de veces configurado anteriormente