Redhat
在 RHEL6 中使用 pam_faillock 鎖定帳戶
之前,我問過在 RHEL6 下使用 pam_tally2。我想提出這個問題和答案來記錄推薦使用pam_faillock 而不是 pam_tally2來實現相同的功能;
在 Red Hat 6 中臨時帳戶鎖定的推薦策略是什麼?
pam_faillock 模組是在Red Hat Enterprise Linux 6.1 的技術說明中介紹給我們的。不知何故,直到現在這都在我的雷達之下。
BZ# 644971
添加了一個新的 pam_faillock 模組以支持在多次失敗的身份驗證嘗試時臨時鎖定使用者帳戶。這個新模組改進了現有 pam_tally2 模組的功能,因為它還允許在通過螢幕保護程序完成身份驗證嘗試時臨時鎖定。
安全指南在第 2.1.9.5 節“帳戶鎖定”中向我們解釋瞭如何使用該模組。
請按照以下步驟配置帳戶鎖定:
要在 3 次嘗試失敗後鎖定任何非 root 使用者並在 10 分鐘後解鎖該使用者,請將以下行添加到文件的 auth
/etc/pam.d/system-auth
部分/etc/pam.d/password-auth
:auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600
將以下行添加到上一步中指定的兩個文件的帳戶部分:
account required pam_faillock.so
我特意停在這裡,因為這將提供大多數人正在尋找的功能。如果您希望包含 root 使用者,請繼續閱讀提供的連結。