faillock配置功能:在错误的密码登录deny=3次数后,锁定unlock_time=600秒。600秒后输入正确的密码,fail login count清零,可正常登录。在RHEL7中,只需要配置/etc/pam.d/password-auth 和/etc/pam.d/system-auth 文件。

通过 pam_faillock 模块,将登录尝试失败的数据储存在 /var/run/faillock 目录下每位用户的独立文件中

配置

添加以下命令行到 /etc/pam.d/system-auth 文件和/etc/pam.d/password-auth 文件中的对应区段

auth  required  pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth  sufficient pam_unix.so nullok try_first_pass
auth  [default=die] pam_faillock.so authfail audit deny=3注意:
auth required pam_faillock.so preauth silent audit deny=3 必须在最前面。
适用于root在pam_faillock 条目里添加 even_deny_root 选项

faillock命令

查看每个用户的尝试失败次数

$ faillock
test:
When    Type Source           Valid
2021-06-20 14:29:05 RHOST 192.168.56.1           V
2021-06-20 14:29:14 RHOST 192.168.56.1           V
2021-06-20 14:29:17 RHOST 192.168.56.1           V

解锁一个用户的账户

faillock --user <username> --reset

关于faillock 连续错误和不连续错误的验证

不间断连续输入三次错误密码

连续输错密码三次

查看锁定情况,三次记录触发deny=3锁定600秒

输入正确密码 无法登陆

间断输入一次错误一次正确再次错误密码

输入错误正确密码各一次


再次输入两次错误密码一次正确密码,发现依然无法登陆

证明:由上实验可知,faillock 模块不会因中途输入正确密码而重置错误次数,错误次数会不断累加。

pam模块之faillock相关推荐

  1. linux pam 解锁_linux中pam模块

    一.pam简介 Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式. 换句话说,不用(重新编写)重新编译一个包含PAM功能的应用程序,就可以改变它使 ...

  2. linux PAM模块

    PAM可以说是一套应用程序编程接口,它提供了一连串的验证机制,只要用户将验证阶段的需求告知PAM后,PAM就能够回报用户验证结果(成功或失败). PAM通过一个与程序相同文件名的配置文件来进行一连串的 ...

  3. linux学习-用户的特殊 shell 与 PAM 模块

    特殊的 shell, /sbin/nologin 『无法登入』指的是:『这个使用者无法使用 bash 或其他 shell 来登入系统』而已, 并不是说这个账号就无法使用其他的系统资源! 让某个具有 / ...

  4. linux pam模块 cron,Linux-PAM 1.1.2 中文文档 - 6.32. pam_tally-登录计数器(统计)模块 | Docs4dev...

    pam_tally.so [file = * +2+ *] [onerr = [* +3+ * | * +4+ *]] [magic_root] [even_deny_root_account] [d ...

  5. centos7 vsftpd 虚拟用户 pam模块认证

    若开启selinux的话,那么就需要 chcon -R -t public_content_t /var/ftp/user1/ chcon -R -t public_content_t /var/ft ...

  6. 第十四章 使用者的特殊 shell 与 PAM 模块

    我们前面一直谈到的大多是一般身份用户与系统管理员 (root) 的相关操作, 而且大多是讨论关于可登陆系统的账号来说.那么换个角度想,如果我今天想要创建的, 是一个『仅能使用 mail server ...

  7. Linux系统的PAM模块认证文件含义说明总结

    在Linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等.在Linux中进行身份或是状态的验证程序是由PAM来进行的,PAM( ...

  8. Linux中PAM模块详解

    一.pam简介 Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式.换句话说,不用重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证机制. ...

  9. Linux——用户的特殊shell与PAM模块

    问题:我们能否建立一个仅能使用的mail server相关邮件服务的账号,而该账号并不能登入Linux主机 1.特殊的shell./sbin/nologin 由于系统账号不需要登入,我们就给这个无法登 ...

最新文章

  1. 知乎:中国工商银行南宁分行丢失2.5亿,工作人员个人行为,与银行无关
  2. 互斥锁、共享内存方式以及生产者消费者模型
  3. java table修改指定行_(变强、变秃)Java从零开始之JQuery购物车功能实操
  4. boost::detail模块实现utf8编码的测试程序的测试程序
  5. Java中的紧凑堆外结构/组合
  6. 【js】数组置空的其他方式及使用场景
  7. vim查找关键字_vim常用命令及操作
  8. 贪心算法——洛谷(P1106)删数问题
  9. 三、Springmvc之Controller层方法返回值
  10. 从Slice_Header学习H.264(二)--片头的子语法项目
  11. CarMaker支持导入的道路格式
  12. Xcode打包IPA包
  13. 对人工智能的初步认识
  14. 在线重建索引 oracle,ORACLE重建索引详解
  15. 用Tableau制作10种漂亮的饼图
  16. 6、Spring事务配置上篇
  17. 【C# 教程系列第 11 篇】什么是抽象类、抽象方法
  18. CHIP-seq流程学习笔记(7)-热图软件 deeptools
  19. QEMU 网络配置一把梭
  20. 记忆益智七巧板等小游戏接口

热门文章

  1. 手机上怎么打开md格式的文件_一键就能将PDF转换为各种格式文件,无奈知道的人实在太少了...
  2. Spring Boot 启动成功
  3. 麒麟子Cocos Creator实用技巧八:回合战棋类RPG战斗效果
  4. keil5重新建工程出现Error: Flash Download failed - Could not load fil
  5. 管理计算机管理没有其他设备,电脑里的设备管理器没有怎么办
  6. IP2188中文数据手册
  7. 【Unity】3D坦克大战入门级别开发
  8. 将多个excel合并到同一个Excel中的多个sheet页,并且以原表名命名sheet页(Office)
  9. 概述史:五胡十六国过这么乱的历史怎么可能搞得懂?6000字短文帮您整个清清楚楚...
  10. PyQt5制作一个爬虫小工具,爬取雪球网上市公司的财务数据