备份”/etc/pam.d/sshd”文件
cp /etc/pam.d/sshd /etc/pam.d/sshd.bak
修改 /etc/pam.d/sshd
在 auth required pam_sepermit.so 下一行加入
auth required pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=300
在 account required pam_nologin.so 下一行加入
account required pam_tally2.so
修改完成配置立即生效,无需重启系统
修改完成后的配置文件
cat /etc/pam.d/sshd
#%PAM-1.0
auth required pam_sepermit.so
auth required pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=300
auth substack password-auth
auth include postlogin
# Used with polkit to reauthorize users in remote sessions
-auth optional pam_reauthorize.so prepare
account required pam_nologin.so
account required pam_tally2.so
account include password-auth
password include password-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session include password-auth
session include postlogin
# Used with polkit to reauthorize users in remote sessions
-session optional pam_reauthorize.so prepare
各参数解释
even_deny_root 也限制root用户;
deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户
unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒;
root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒;
此处使用的是 pam_tally2 模块,如果不支持 pam_tally2 可以使用 pam_tally 模块。另外,不同的pam版本,设置可能有所不同,具体使用方法,可以参照相关模块的使用规则
重置pam_tally 设置命令
pam_tally2 --reset
文档更新时间: 2019-01-22 11:33 作者:张尚