1.pam_tally2モジュールがあるかどうかを確認します
コマンド:whereis pam_tally2
2.構成ファイルを変更します
1.サーバーターミナル(ttyログイン):
vim / etc / pam.d / vim /etc/pam.d/login都一样,因为login使用了
system-authまたは system-auth。
ファイルの増加:
- auth requisite pam_tally2.so onerr = fail deny = 3 Unlock_time = 600even_deny_root root_unlock_time = 600(以下に示すように、password-authに追加した後)
- アカウントに必要なpam_tally2.so(以下に示すように、postloginに追加した後)
クラウドサーバーの場合、これを構成する必要はありません
2. SSHリモートログイン:
vim /etc/pam.d/sshd
ファイルの増加:
- auth requisite pam_tally2.so onerr = fail deny = 3 Unlock_time = 600even_deny_root root_unlock_time = 600(以下に示すように、password-authに追加した後)
- アカウントに必要なpam_tally2.so(以下に示すように、postloginに追加した後)
/etc/pam.d/sshdファイルがない場合は、新しいファイルを作成し、次のコンテンツをコピーするだけです。
#%PAM-1.0
auth substack password-auth
#必须放在password-auth后面,需要先验证密码再执行过滤,否则ssh还没输密码,错误计数器就会+1
auth requisite pam_tally2.so onerr=fail deny=3 unlock_time=60 even_deny_root root_unlock_time=60
auth include postlogin
#必须增加下面这一行,否则计数器不会在登录成功后清零
account required pam_tally2.so
account required pam_sepermit.so
account required pam_nologin.so
account include password-auth
password include password-auth
## pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
## pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session optional pam_motd.so
session include password-auth
session include postlogin
上記のコードは、共通アカウントとrootアカウントのログインが3回連続して失敗し、10分間ロックされることを意味します。
rootアカウントを制限したくない場合は、even_deny_root root_unlock_timeの2つのパラメーターを削除できます。root_unlock_timeはrootアカウントのロック時間を表し、onerr = failは継続的な失敗を表し、deny = 3は、後でロックされることを意味します。 3回以上のログイン失敗。
ユーザーのロックアウト期間中、正しいパスワードまたは間違ったパスワードが入力されたかどうかにかかわらず、パスワードは間違ったパスワードと見なされ、最後のログインはロックの開始時刻になります。ユーザーがロック解除後に初めてパスワードを入力した場合、パスワードは次のようになります。まだ正しくありません。ロックしています。
3.vim / etc / ssh / sshd_configファイルでpam認証が有効になっているかどうかを確認します。重要です。!!
3.sshサービスを再起動します
コマンド:service sshd restart
4. pam_tally2コマンドを使用して、ログインステータスを確認します
コマンド:pam_tally2 --user = jsw_audit #jsw_auditユーザーのログイン失敗を表示する
コマンド:pam_tally2 --user = jsw_audit --reset #jsw_auditユーザーの失敗したログインの数を0にリセットします。そうしないと、上記で構成された回数を超えた後、ログインが禁止されます。