一、登录失败处理功能策略
1、登录失败处理功能策略(服务器终端)
(1)编辑系统/etc/pam.d/system-auth 文件,在 auth 字段所在的那一部分添加如下pam_tally2.so模块的策略参数:
auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=300
或者
auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 no_magic_root
(2)pam_tally2.so模块参数解读:
onerr=fail #表示连续错误
deny=n #表示连续登录失败次数超过n次后拒绝访问
unlock_time=300 #表示连续登录失败后锁定的时间(秒数)为300秒
no_magic_root #表示连root用户也在限制范围内
even_deny_root #root用户失败登录次数超过deny=n次后拒绝访问
root_unlock_time=300 #与even_deny_root相对应的选项,如果配置该选项,则root用户在登录失败次数超出限制后被锁定指定时间为300秒
注:用户锁定期间,无论在输入正确还是错误的密码,都将视为错误密码,并以最后一次登录为锁定起始时间,若果用户解锁后输入密码的第一次依然为错误密码,则再次重新锁定。
2、登录失败处理功能策略(ssh远程连接登录)
(1)编辑系统/etc/pam.d/sshd文件,添加的内容与服务器终端的一致。
在 auth 字段所在的那一部分添加如下pam_tally2.so模块的策略参数:
auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=300
或者
auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 no_magic_root
(2)错误处理:
如果在操作中间出现下面这个错误:
Dec 7 15:06:51 iZ2zee7gmy40tbverl53rfZ sshd[15747]: PAM unable to dlopen(/lib64/security/pam_tally.so): /lib64/security/pam_tally.so: cannot open shared object file: No such file or directoryDec 7 15:06:51 iZ2zee7gmy40tbverl53rfZ sshd[15747]: PAM adding faulty module: /lib64/security/pam_tally.so
上面的错误意思是在/lib64/security/ 下面找不到pam_tally.so,而我进入到目录下,确实没找到这个文件,解决方法是将现有的 pam_tally2.so做个软连接到pam_tally.so。
[root@localhost ~]# cd /lib64/security/[root@localhost security]# ln -s pam_tally2.so pam_tally.so
二、操作超时退出功能策略
(1)编辑/etc/profile系统文件,在文件后面添加:
export TMOUT=300 #表示无操作300秒后自动退出
扩展:
export TMOUT=0 #0代表永不自动退出
readonly TMOUT # 将值设置为readonly 防止用户更改,在shell中无法修改TMOUT
(2)source /etc/profile 使修改生效。