linux用户登录失败锁定通过pam的faillock模块实现,具体步骤为:1.确认安装pam;2.编辑/etc/pam.d/目录下的login、sshd、system-auth等文件,在指定位置插入auth和account配置行并设置deny、unlock_time等参数;3.如需锁定root用户,添加even_deny_root参数;4.配置ssh时确保usepam启用并重启sshd服务;5.测试配置后可通过faillock命令查看或解锁账户;6.日志记录在/var/log/auth.log或secure中。此外,还可结合强密码、ssh密钥登录、fail2ban、ip限制及双因素认证等措施防止暴力破解。
linux用户登录失败锁定,主要是通过PAM(Pluggable Authentication Modules)的faillock模块来实现的。简单来说,就是配置这个模块,让系统记录登录失败的次数,超过一定阈值就锁定账户,防止暴力破解。
faillock模块配置方法
-
确认是否安装PAM: 大部分Linux发行版默认安装了PAM,但最好确认一下。可以通过rpm -qa | grep pam(redHat/centos)或dpkg -l | grep libpam-modules(debian/ubuntu)来检查。如果没安装,用对应的包管理器安装即可。
-
编辑PAM配置文件: 关键在于修改/etc/pam.d/目录下的相关文件。常见的需要修改的文件包括:
- /etc/pam.d/login:控制本地控制台登录。
- /etc/pam.d/sshd:控制SSH登录。
- /etc/pam.d/system-auth 和 /etc/pam.d/password-auth(RedHat/CentOS):通常这两个文件会被其他服务引用,修改它们可以影响多个服务的认证行为。
使用vi或其他编辑器打开这些文件,找到auth required pam_unix.so try_first_pass nullok 这一行(类似即可,不同系统可能略有差异)。
在这行之前,插入以下两行:
auth required pam_faillock.so preauth audit silent deny=3 unlock_time=600 auth [success=end bad=die] pam_unix.so
然后在account required pam_unix.so 这一行之后,插入:
account required pam_faillock.so authfail audit deny=3 unlock_time=600
- deny=3:表示允许尝试3次登录失败。
- unlock_time=600:表示锁定时间为600秒(10分钟)。
- preauth:在认证之前运行,记录失败尝试。
- authfail:在认证失败时运行,递增失败计数。
- audit:启用审计日志。
- silent:不显示错误消息。
注意: RedHat/CentOS系统,/etc/pam.d/system-auth 和 /etc/pam.d/password-auth 文件可能包含sufficient pam_succeed_if.so uid >= 1000 quiet 这样的行,表示非root用户可以绕过某些认证步骤。 如果存在这样的行, pam_faillock.so 的配置应该放在这些行之前,确保对所有用户生效。
-
配置SSH(如果需要): 如果你想通过SSH锁定用户,需要编辑/etc/pam.d/sshd 文件,添加和上面类似的配置。 确保UsePAM yes 在/etc/ssh/sshd_config 中被启用。 修改完/etc/ssh/sshd_config后,需要重启sshd服务:systemctl restart sshd。
-
测试配置: 修改完配置文件后,最好测试一下。 尝试用错误的密码登录几次,然后看看用户是否被锁定。
-
解锁账户: 如果账户被锁定,可以使用faillock –user 命令查看锁定状态。 要解锁账户,可以使用faillock –user –reset 命令。 root用户可以解锁任何账户,普通用户只能解锁自己的账户。
-
日志查看: 登录失败的记录通常会记录在/var/log/auth.log 或 /var/log/secure 文件中,具体取决于你的Linux发行版。
Faillock配置后,为什么root用户仍然可以登录?
faillock默认情况下不会锁定root用户。 这是为了防止管理员把自己锁在系统之外。 如果你想锁定root用户,需要在/etc/pam.d/ 的相关文件中,在pam_faillock.so 的配置中添加even_deny_root 参数。 例如:
auth required pam_faillock.so preauth audit silent deny=3 unlock_time=600 even_deny_root account required pam_faillock.so authfail audit deny=3 unlock_time=600 even_deny_root
但是,强烈建议不要锁定root用户,除非你有非常充分的理由,并且非常清楚自己在做什么。 锁定root用户可能会导致系统无法维护,甚至无法启动。
如何自定义faillock的锁定策略?
除了上面提到的deny 和 unlock_time 参数,pam_faillock.so 还有很多其他的参数可以自定义锁定策略:
- fail_interval=seconds:设置在多少秒内尝试登录失败才会被记录。 默认值是禁用。
- auth_interval=seconds:设置在多少秒内成功登录后,失败计数会被重置。 默认值是禁用。
- root_unlock_time=seconds:设置root用户被锁定的时间。 如果even_deny_root 被启用,这个参数才生效。
- admin_group=groupname:指定一个组,该组的成员可以使用faillock –reset 命令解锁任何用户的账户。
这些参数可以在/etc/pam.d/ 的相关文件中进行配置。 例如,要设置root用户被锁定300秒,并且只有admin组的成员才能解锁所有账户,可以这样配置:
auth required pam_faillock.so preauth audit silent deny=3 unlock_time=600 even_deny_root root_unlock_time=300 admin_group=admin account required pam_faillock.so authfail audit deny=3 unlock_time=600 even_deny_root root_unlock_time=300 admin_group=admin
配置完后,记得重启相关服务,例如sshd。
除了faillock,还有没有其他方法可以防止暴力破解?
除了faillock,还有一些其他的安全措施可以用来防止暴力破解:
-
使用强密码: 这是最基本的安全措施。 密码应该足够长,包含大小写字母、数字和符号,并且不要使用容易被猜到的单词或短语。
-
禁用密码登录,使用SSH密钥登录: SSH密钥登录比密码登录更安全,因为密钥更难被破解。 禁用密码登录可以大大降低被暴力破解的风险。
-
使用Fail2ban: Fail2ban是一个入侵防御框架,可以监控系统日志,自动屏蔽恶意IP地址。 它可以与faillock 结合使用,提供更强大的安全保护。
-
限制SSH登录IP地址: 如果你知道只有特定的IP地址需要访问SSH服务,可以在防火墙上限制只允许这些IP地址登录。
-
使用双因素认证(2FA): 2FA可以提供额外的安全保护,即使密码被破解,攻击者也无法登录。
这些安全措施可以根据你的实际需求进行组合使用,以提高系统的安全性。
