Linux使用PAM锁定多次登陆失败的用户（重置次数）原理后续补充----

摘要：

对于Linux上的用户，如果用户连续三次登录失败，则该用户将被锁定，几分钟后该用户将自动解锁。Linux有一个pam_ tally2.so的pam模块用于限制用户登录失败的次数。如果数字达到设置的阈值，用户将被锁定。#%PAM-1.0authrequiredpam_tally2.sondeny=3unlock_time=600even_deny_rootroot_nunlock_time=1200//密码被锁定三次，但出现错误。平均用户被锁定600秒，即使是根用户也有效。根锁定时间为1200秒authrequiredpam_sepermit。soauthsubstackpassword authauthincludepostlogin#与polkit一起使用以授权远程会话中的用户-authoptionalpam_重新授权。每个国家的女部门都需要一个新的职位。soaccountincludepasswordauthpasswordincludepassword auth#pam_selinux。soclose必须满足第一个会话规则会话的要求。soclosesession需要pam_登录ID。所以#pam_ selinux。因此，只有在用户上下文会话要求的pam_ selinux中才能执行会话。soopenenv参数需要pam命名空间。sossionoptionapam_keyinit。强制撤销会话包括密码授权会话包括密码登录#与polkit一起使用以授权远程会话中的用户-会话选项am_重新授权.sopparte2、vim/etc/pam。D/login（终端）限制用户终端在#%PAM-1.0以下登录，这是第二行。添加的内容也必须写在前面。你可以想象恢复的难度…在下面记录恢复过程。。。

　　linux上的用户，如果用户连续3次登录失败，就锁定该用户，几分钟后该用户再自动解锁。Linux有一个pam_tally2.so的PAM模块，来限定用户的登录失败次数，如果次数达到设置的阈值，则锁定用户。

1、 vim /etc/pam.d/sshd （远程ssh）

　　限制用户远程登录

　　在#%PAM-1.0的下面，即第二行，添加内容，一定要写在前面，如果写在后面，虽然用户被锁定，但是只要用户输入正确的密码，仍旧可以登录。

#%PAM-1.0
auth    required    pam_tally2.so    deny=3    unlock_time=600 even_deny_root root_unlock_time=1200   // 三次错误密码锁定，普通用户锁定600秒，even_deny_root,对root用户生效，root锁定时间1200秒
auth       required     pam_sepermit.so
auth       substack     password-auth
auth       include      postlogin
# Used with polkit to reauthorize users in remote sessions
-auth      optional     pam_reauthorize.so prepare
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      password-auth
session    include      postlogin
# Used with polkit to reauthorize users in remote sessions
-session   optional     pam_reauthorize.so prepare

2、 vim /etc/pam.d/login（终端）

限制用户终端登陆

　　在#%PAM-1.0的下面，即第二行，添加内容，同样是一定要写在前面。

#%PAM-1.0
auth    required    pam_tally2.so    deny=3    unlock_time=600 even_deny_root root_unlock_time=1200   
auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
auth       substack     system-auth
auth       include      postlogin
account    required     pam_nologin.so
account    include      system-auth
password   include      system-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
session    optional     pam_console.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      system-auth
session    include      postlogin
-session   optional     pam_ck_connector.so

3、解除锁定

　　查看某一用户错误登陆次数：
　　pam_tally –-user

　　清空某一用户错误登陆次数：
　　pam_tally –-user –-reset

　　比如查看pamtest用户错误登陆次数

　　比如清空pamtest用户的错误登陆次数

　　如果前面的命令没有清楚成功，可以试下下面这个命令

　　 pam_tally2 –u tom --reset

4、2020-09-04，本来是平常的一天，可是今天我一台机器的root密码忘了，而且这台机器还做了上述的安全认证。。。恢复难度可想而知。。。下面记录下恢复过程。。。

　　第1步：开机后在内核上按“e”

　　 Linux使用PAM锁定多次登陆失败的用户（重置次数）原理后续补充----第3张

这时会进入内核启动，在linux16这行的后面输入“rd.break console=tty0” 然后按“ctrl+x "

　　 Linux使用PAM锁定多次登陆失败的用户（重置次数）原理后续补充----第4张

　　进入系统安全模式

　　 Linux使用PAM锁定多次登陆失败的用户（重置次数）原理后续补充----第5张

　　#mount –o remount,rw /sysroot

　　#chroot /sysroot

　　#passwd 密码这个时候设置复杂些

　　#touch /.autorelabel

　　#exit

　　以上操作完成之后，root用户密码已经修改，正常情况下已经可以登陆了,可是我设置了用户锁定策略。

　　#vim /etc/pam.d/sshd

　　删除第二行

　　#vim /etc/pam.d/login

　　删除第二行

　　#exit

　　总算恢复了。

Linux使用PAM锁定多次登陆失败的用户（重置次数）原理后续补充----

相关文章

【jsp】jsp中的动作元素

JAVA框架-Mybatis中(代理、动态SQL和高级映射)

再谈容器与虚拟机的那点事

ftp文件上传下载命令

linux 非root 用户安装redis 安装

linux安装mysql8.0.25

最新文章

随机推荐

思享工具箱导航

JSON工具

格式化转换

加解密编码

文本数字

网络

站长

计算

其他

对照列表