linux系统中实现用户登录失败锁定功能最常用的方法是使用pam_tally2模块。具体步骤如下:1. 确认系统是否支持pam_tally2,通过查找/lib64/security/pam_tally2.so或/lib/security/pam_tally2.so文件判断;2. 修改pam配置文件,在/etc/pam.d/system-auth或/etc/pam.d/sshd的auth区域添加auth required pam_tally2.so deny=5 unlock_time=300启用失败计数;3. 使用sudo pam_tally2 –user=username –reset命令手动解锁账户,或查看失败次数;4. 注意事项包括该模块仅对pam认证服务有效、默认不锁定root账户、日志记录位置及模块顺序影响行为逻辑等问题。
linux系统中实现用户登录失败锁定功能,最常用的方法是使用 pam_tally2 模块。这个模块可以记录用户的登录失败次数,并在达到设定值后自动锁定账户。下面我们就来看看具体的配置方法。
一、确认系统是否支持 pam_tally2
首先需要确认你的系统中是否存在 pam_tally2 模块。大多数基于 red Hat 的系统(如 centos、RHEL)和 debian 系列系统都默认安装了 PAM 模块,包括 pam_tally2。
你可以通过以下命令查看:
ls /lib64/security/pam_tally2.so # 64位系统 # 或者 ls /lib/security/pam_tally2.so # 32位系统
如果存在这个文件,说明模块已经就绪,可以直接配置使用。
二、修改 PAM 配置文件启用登录失败计数
在 Linux 中,PAM 的主配置文件通常是 /etc/pam.d/system-auth 或 /etc/pam.d/common-auth,具体取决于发行版。以 CentOS/RHEL 为例:
打开配置文件:
sudo vi /etc/pam.d/system-auth
在 auth 区域添加或修改如下行:
auth required pam_tally2.so deny=5 unlock_time=300
- deny=5:表示最多允许失败 5 次,超过后锁定账户。
- unlock_time=300:锁定时间设置为 300 秒(即 5 分钟),之后自动解锁。
如果你希望在 SSH 登录时也生效,还需要编辑 /etc/pam.d/sshd 文件,加入同样的配置行。
三、配置账户解锁方式
除了自动解锁外,你还可以手动清空失败计数来立即解锁账户。使用以下命令:
sudo pam_tally2 --user=username --reset
这会将指定用户的失败次数重置为 0,相当于解锁账户。
也可以查看当前用户的失败次数:
sudo pam_tally2 --user=username
输出示例:
username 3
表示该用户已失败 3 次。
四、注意事项与常见问题
- 只对PAM认证起作用:pam_tally2 是基于 PAM 的机制,只对通过 PAM 进行认证的服务有效,比如 SSH、su、login 等,不适用于非 PAM 认证的程序。
- 不影响root账户锁定:默认情况下,root 账户不会被锁定(除非显式配置)。
- 日志记录:失败登录会被记录在 /var/log/secure(CentOS/RHEL)或 /var/log/auth.log(Debian/ubuntu)中,方便排查问题。
- 配置顺序有讲究:PAM 配置文件中的模块顺序会影响行为逻辑,建议把 pam_tally2 放在前面的位置,避免被其他模块跳过。
基本上就这些。虽然配置看起来不复杂,但很容易忽略一些细节,比如服务未启用 PAM 模块、路径写错、或者忘记重启服务等。只要一步步按需配置,就能很好地防止暴力破解攻击。
