am_tally2模块用于某些数对系统进行失败的ssh登录尝试后锁定用户帐户。 此模块保留已尝试访问的计数和过多的失败尝试。
pam_tally2模块有两个部分,一个是pam_tally2.so,另一个是pam_tally2。 它是基于PAM模块上,并且可以被用于检查和调节计数器文件。 它可以显示用户登录尝试次数,单独设置计数,解锁所有用户计数。
Pam_tally2锁定SSH登录
默认情况下,pam_tally2模块已经安装在大多数Linux发行版,它是由PAM包本身的控制。 本文演示如何锁定和深远的登录尝试的失败一定次数后解锁SSH帐户。
如何锁定和解锁用户帐户
使用“/etc/pam.d/password-auth”配置文件来配置的登录尝试的访问。 打开此文件并以下AUTH配置行举行的“ 身份验证 ”部分的开头添加到它。
auth required pam_tally2.so file=/var/log/tallylog deny=3 even_deny_root unlock_time=1200
接下来,添加以下行“ 账户 ”部分。
account required pam_tally2.so
参数
- 文件= /无功/日志/ tallylog -默认的日志文件是用来保持登录计数。
- 否认= 3 -拒绝后,3次尝试访问和锁定用户。
- even_deny_root -政策也适用于root用户。
- unlock_time = 1200 -帐户将被锁定,直到20分钟 。 (如果要永久锁定,直到手动解锁,请删除此参数。)
一旦你使用上面的配置完成,现在尽量尝试使用任何“ 用户名 ”3失败的登录尝试到服务器。 当你取得了超过3次,你会收到以下消息。
[root@youcl ~]# ssh youcl@172.16.25.126 youcl@172.16.25.126's password: Permission denied, please try again. youcl@172.16.25.126's password: Permission denied, please try again. youcl@172.16.25.126's password: Account locked due to 4 failed logins Account locked due to 5 failed logins Last login: Mon Apr 22 21:21:06 2013 from 172.16.16.52
现在,使用以下命令验证或检查用户尝试的计数器。
[root@youcl ~]# pam_tally2 --user=youcl Login Failures Latest failure From youcl 5 04/22/13 21:22:37 172.16.16.52
如何重置或解锁用户帐户以再次启用访问。
[root@youcl pam.d]# pam_tally2 --user=youcl --reset Login Failures Latest failure From youcl 5 04/22/13 17:10:42 172.16.16.52
验证登录尝试已重置或解锁
[root@youcl pam.d]# pam_tally2 --user=youcl Login Failures Latest failure From youcl 0
PAM模块是所有Linux发行版和配置提供了有关在所有Linux发行版应该工作的一部分。 在命令行中执行 “ man pam_tally2” 更多地了解它。