在 RHEL6 中使用 pam_faillock 鎖定帳戶

之前，我問過在 RHEL6 下使用 pam_tally2。我想提出這個問題和答案來記錄推薦使用pam_faillock 而不是 pam_tally2來實現相同的功能；

在 Red Hat 6 中臨時帳戶鎖定的推薦策略是什麼？

pam_faillock 模組是在Red Hat Enterprise Linux 6.1 的技術說明中介紹給我們的。不知何故，直到現在這都在我的雷達之下。

BZ# 644971

添加了一個新的 pam_faillock 模組以支持在多次失敗的身份驗證嘗試時臨時鎖定使用者帳戶。這個新模組改進了現有 pam_tally2 模組的功能，因為它還允許在通過螢幕保護程序完成身份驗證嘗試時臨時鎖定。

安全指南在第 2.1.9.5 節“帳戶鎖定”中向我們解釋瞭如何使用該模組。

請按照以下步驟配置帳戶鎖定：

要在 3 次嘗試失敗後鎖定任何非 root 使用者並在 10 分鐘後解鎖該使用者，請將以下行添加到文件的 auth/etc/pam.d/system-auth部分/etc/pam.d/password-auth：

auth        required       pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth        sufficient     pam_unix.so nullok try_first_pass
auth        [default=die]  pam_faillock.so authfail audit deny=3 unlock_time=600

將以下行添加到上一步中指定的兩個文件的帳戶部分：

account     required      pam_faillock.so

我特意停在這裡，因為這將提供大多數人正在尋找的功能。如果您希望包含 root 使用者，請繼續閱讀提供的連結。

引用自：https://serverfault.com/questions/594025