linux用戶登錄失敗N次,鎖定用戶(幾分鐘后該用戶再自動解鎖)

1、Good is good, but better carries it.精益求精，善益求善。linux用戶登錄失敗N次,鎖定用戶(幾分鐘后該用戶再自動解鎖)linux用戶登錄失敗N次,鎖定用戶(幾分鐘后該用戶再自動解鎖)linux用戶登錄失敗N次,鎖定用戶(幾分鐘后該用戶再自動解鎖)1.確定使用PAM_TALLY2.SO 模塊還是PAM_TALLY.SO 模塊12.使用PAM_TALLY2.SO 模塊限制用戶登錄失敗N次鎖定用戶（幾分鐘后自動解鎖）12.1.遠(yuǎn)程ssh登錄限制方法（常用）12.2.查看用戶登錄失敗的次數(shù)并解鎖命令22.3.Suse Linux 多次登錄失敗鎖定用戶及解鎖22.4

2、.手動鎖定用戶禁止使用32.5.本地字符終端登錄限制方法（不常用）32.6.本地圖形登錄限制方法（不常用）43.使用PAM_TALLY.SO 模塊限制用戶登錄失敗N次鎖定用戶（幾分鐘后自動解鎖）44.1.如果想在所有登陸方式上，限制所有用戶44.2.只在本地文本終端上做限制44.3.只在圖形化登陸界面上做限制，44.4.只在遠(yuǎn)程telnet、ssh登陸上做限制54.5.3、手動解除鎖定：54.6.pam_tally沒有自動解鎖功能54.7.添加crontab任務(wù)（達(dá)到定時自動解鎖的功能）51. 確定使用pam_tally2.so 模塊還是pam_tally.so 模塊使用下面命令，查看系統(tǒng)是否

3、含有 pam_tally2.so 模塊，如果沒有，就需要使用 pam_tally.so 模塊，兩個模塊的使用方法不太一樣，需要區(qū)分開來。2. 使用pam_tally2.so 模塊限制用戶登錄失敗N次鎖定用戶（幾分鐘后自動解鎖）Linux有一個pam_tally2.so的PAM模塊，來限定用戶的登錄失敗次數(shù)，如果次數(shù)達(dá)到設(shè)置的閾值，則鎖定用戶。1.2.2.1. 遠(yuǎn)程ssh登錄限制方法（常用）如果想限制遠(yuǎn)程登錄，需要改SSHD文件（可以只限制遠(yuǎn)程登錄而不限制tty登錄即只對sshd文件增加此限制），在#%PAM-1.0的下面，即第二行，添加內(nèi)容，一定要寫在前面，如果寫在后面，雖然用戶被鎖定，但是只

4、要用戶輸入正確的密碼，還是可以登錄的！失敗效果（遠(yuǎn)程ssh登錄；這個遠(yuǎn)程ssh的時候，沒有提示，我用的是Xshell，不知道其它終端有沒提示，只要超過設(shè)定的值，輸入正確的密碼也是登陸不了的?。┤缦拢阂部梢灾苯釉?system-auth 文件中直接添加這些命令，修改完成后，凡是調(diào)用 system-auth 文件的服務(wù)，都會生效。因為有自動解鎖時間，所以，不用擔(dān)心全部限制后，會出現(xiàn)永遠(yuǎn)無法登陸的“尷尬”情況。2.2. 查看用戶登錄失敗的次數(shù)并解鎖命令2.3. Suse Linux 多次登錄失敗鎖定用戶及解鎖 在服務(wù)器端以root用戶登錄執(zhí)行命令：# faillog a /查看用戶登錄錯誤次數(shù)如果超

5、過三次的話，用戶不能登錄并且此后登錄用戶錯誤登錄次數(shù)還是會增加。在登錄錯誤次數(shù)不滿三次時，登錄成功后，則這個用戶登錄錯誤值將清零，退出后重新telnet登錄將采用新的計數(shù)。 # faillog -u user r /清空指定用戶user的錯誤登錄次數(shù)# faillog r /清空所有用戶錯誤登錄次數(shù)/var/log/faillog會自動生成，里邊記錄用戶登錄失敗次數(shù)等信息2.4. 手動鎖定用戶禁止使用可以用usermod命令來鎖定用戶密碼，使密碼無效，該用戶名將不能使用。鎖定命令： usermod -L 用戶名解鎖命令：usermod -U 用戶名2.5. 本地字符終端登錄限制方法（不常用）在

6、#%PAM-1.0的下面，即第二行，添加內(nèi)容，一定要寫在前面，如果寫在后面，雖然用戶被鎖定，但是只要用戶輸入正確的密碼，還是可以登錄的！失敗效果（tty登錄）如下圖：2.6. 本地圖形登錄限制方法（不常用）3. 使用pam_tally.so 模塊限制用戶登錄失敗N次鎖定用戶（幾分鐘后自動解鎖）3.4.4.1. 如果想在所有登陸方式上，限制所有用戶可以在 /etc/pam.d/system-auth 中增加2行如果不想限制root用戶，可以將 even_deny_root_account 取消掉。4.2. 只在本地文本終端上做限制可以編輯如下文件，添加的內(nèi)容和上方一樣。vi /etc/pam.d

7、/login4.3. 只在圖形化登陸界面上做限制，可以編輯如下文件，添加的內(nèi)容和上方也一樣。vi /etc/pam.d/kde4.4. 只在遠(yuǎn)程telnet、ssh登陸上做限制可以編輯如下文件，添加的內(nèi)容和上方也一樣。vi /etc/pam.d/remotevi /etc/pam.d/sshd4.5. 3、手動解除鎖定：查看某一用戶錯誤登陸次數(shù)：查看work用戶的錯誤登陸次數(shù)：pam_tally user work清空某一用戶錯誤登陸次數(shù)：清空 work 用戶的錯誤登陸次數(shù)，pam_tally user work resetfaillog -r 命令亦可。4.6. pam_tally沒有自動解鎖功能因為pam_tally沒有自動解鎖的功能，所以，在設(shè)置限制時，要多加注意，萬一全做了限制，而root用戶又被鎖定了，就只能夠進(jìn)單用戶模式解鎖了，當(dāng)然，也可以添加crontab任務(wù)，達(dá)到定時自動解鎖的功能，但需要注意的是，如果在/etc/pam.d/system-auth 文件中添加了pam_tally的話，當(dāng)root被鎖定后，crontab任務(wù)會失效，所以，最好不要