Linux用户登录失败锁定策略

原创 于 2025-08-14 18:00:10 发布 · 1.2k 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #前端 #数据库

1、账户锁定策略介绍

  在Linux系统中,为了提高系统安全性,防止暴力破解攻击,我们可以通过配置PAM(Pluggable Authentication Modules)模块来限制登录失败次数并锁定用户账户,本文将详细介绍如何实现这一功能,包括必要的步骤和配置文件的修改。

2、系统环境

  系统环境:RedHat 8.0

  主要配置文件:/etc/pam.d/login、/etc/pam.d/sshd、/etc/pam.d/gdm-password、system-auth和password-auth

3、账户登录方式

3.1、登录方式

  Linux中账户登录验证方式:

  1.本地tty登录,这里是使用login命令,从而调用/etc/pam.d/login配置文件,最终调用底层的组件进行密码验证等;

  2.ssh远程登录,调用/etc/pam.d/sshd配置文件;

  3.本地图形化界面,比如我用gdm,那么我在图形化登录界面时,就会调用/etc/pam.d/gdm-password配置文件。

3.2、文件内容

  在RedHat 8.0之后的系统环境中,不在使用pam_tally2组件进行登录锁定策略设置,而是使用faillock组件对其登录锁定策略进行设置,如果仅仅放置在system-auth文件中,实际上就只对本地tty登录方式进行了限制,如果需要对远程登录和本地图形化界面设置登录失败锁定,则需要对password-auth文件进行参数配置。

3.2.1、/etc/pam.d/login

  /etc/pam.d/login配置文件中使用substack参数引用了其他的配置文件,具体引用模块则是:system-auth

[root@RedHat8 ~]# cat /etc/pam.d/login
#%PAM-1.0
auth       substack     system-auth
auth       include      postlogin
account    required     pam_nologin.so
account    include      system-auth
password   include      system-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
session    optional     pam_console.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    include      system-auth
session    include      postlogin
-session   optional     pam_ck_connector.so

3.2.2、/etc/pam.d/sshd

  /etc/pam.d/sshd配置文件中使用substack参数引用了其他的配置文件,具体引用模块则是:password-auth

[root@RedHat8 ~]# cat /etc/pam.d/sshd
#%PAM-1.0
auth       substack     password-auth
auth       include      postlogin
account    required     pam_sepermit.so
account    required     pam_nologin.so
account    include      password-auth
password   include      password-auth
# pam_selinux.so close should be the first session rule
session    required     pam_selinux.so close
session    required     pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session    required     pam_selinux.so open env_params
session    required     pam_namespace.so
session    optional     pam_keyinit.so force revoke
session    optional     pam_motd.so
session    include      password-auth
session    include      postlogin

3.2.3、/etc/pam.d/gdm-password

  /etc/pam.d/gdm-password配置文件中使用substack参数引用了其他的配置文件,具体引用模块则是:password-auth

[root@RedHat8 ~]# cat /etc/pam.d/gdm-password
auth     [success=done ignore=ignore default=bad] pam_selinux_permit.so
auth        substack      password-auth
auth        optional      pam_gnome_keyring.so
auth        include       postlogin

account     required      pam_nologin.so
account     include       password-auth

password    substack       password-auth
-password   optional       pam_gnome_keyring.so use_authtok

session     required      pam_selinux.so close
session     required      pam_loginuid.so
session     optional      pam_console.so
session     required      pam_selinux.so open
session     optional      pam_keyinit.so force revoke
session     required      pam_namespace.so
session     include       password-auth
session     optional      pam_gnome_keyring.so auto_start
session     include       postlogin

4、通过system-auth模块设置账户锁定策略

4.1、修改system-auth配置文件

  执行命令: vi /etc/pam.d/system-auth ,将以下配置参数新增在auth字段上面: 

  auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600     用户登录失败3次,锁定10分钟  auth sufficient pam_unix.so nullok try_first_pass                  允许用户执行su权限,如果不添加该参数,则用户无法使用su进行切换  auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=300       密码验证失败后更新失败尝试记录间隔时间300秒  account required pam_faillock.so                                  检查账户是否因密码输错过多而被锁定,并阻止被锁定的账户登录

  如图所示:

# Generated by authselect on Thu Feb 13 07:05:03 2025
# Do not modify this file manually.

auth        required                                     pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth        sufficient                                   pam_unix.so nullok try_first_pass
auth        [default=die]                                pam_faillock.so authfail audit deny=3 unlock_time=300
account     required                                     pam_faillock.so

auth        required                                     pam_env.so
auth        required                                     pam_faildelay.so delay=2000000
auth        sufficient                                   pam_fprintd.so
auth        [default=1 ignore=ignore success=ok]         pam_succeed_if.so uid >= 1000 quiet
auth        [default=1 ignore=ignore success=ok]         pam_localuser.so
auth        sufficient                                   pam_unix.so nullok try_first_pass
auth        requisite                                    pam_succeed_if.so uid >= 1000 quiet_success
auth        sufficient                                   pam_sss.so forward_pass
auth        required                                     pam_deny.so

account     required                                     pam_unix.so
account     sufficient                                   pam_localuser.so
account     sufficient                                   pam_succeed_if.so uid < 1000 quiet
account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     required                                     pam_permit.so

password    requisite                                    pam_pwquality.so try_first_pass local_users_only
password    sufficient                                   pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient                                   pam_sss.so use_authtok
password    required                                     pam_deny.so

session     optional                                     pam_keyinit.so revoke
session     required                                     pam_limits.so
-session    optional                                     pam_systemd.so
session     [success=1 default=ignore]                   pam_succeed_if.so service in crond quiet use_uid
session     required                                     pam_unix.so
session     optional                                     pam_sss.so

4.2、登录测试

  测试截图:

  

  使用命令: faillock --user test 查看test用户锁定情况,可以看到test用户登录失败3次后,已经被锁定。

  

  使用命令: faillock --user test --reset 解锁test用户。

  解锁后,用户登录正常

  

5、通过password-auth模块设置账户锁定策略

5.1、修改password-auth配置文件

  执行命令: vi /etc/pam.d/password-auth ,将以下配置参数新增在auth字段上面:

   auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600     用户登录失败3次,锁定10分钟

   auth sufficient pam_unix.so nullok try_first_pass                  允许用户执行su权限,如果不添加该参数,则用户无法使用su进行切换

   auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=300       密码验证失败后更新失败尝试记录间隔时间300秒

   account required pam_faillock.so                           检查账户是否因密码输错过多而被锁定,并阻止被锁定的账户登录

  如图所示:

[root@RedHat8 ~]# cat /etc/pam.d/password-auth
# Generated by authselect on Thu Feb 13 07:05:03 2025
# Do not modify this file manually.

auth        required                                     pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth        sufficient                                   pam_unix.so nullok try_first_pass
auth        [default=die]                                pam_faillock.so authfail audit deny=3 unlock_time=300
account     required                                     pam_faillock.so

auth        required                                     pam_env.so
auth        required                                     pam_faildelay.so delay=2000000
auth        [default=1 ignore=ignore success=ok]         pam_succeed_if.so uid >= 1000 quiet
auth        [default=1 ignore=ignore success=ok]         pam_localuser.so
auth        sufficient                                   pam_unix.so nullok try_first_pass
auth        requisite                                    pam_succeed_if.so uid >= 1000 quiet_success
auth        sufficient                                   pam_sss.so forward_pass
auth        required                                     pam_deny.so

account     required                                     pam_unix.so
account     sufficient                                   pam_localuser.so
account     sufficient                                   pam_succeed_if.so uid < 1000 quiet
account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     required                                     pam_permit.so

password    requisite                                    pam_pwquality.so try_first_pass local_users_only
password    sufficient                                   pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient                                   pam_sss.so use_authtok
password    required                                     pam_deny.so

session     optional                                     pam_keyinit.so revoke
session     required                                     pam_limits.so
-session    optional                                     pam_systemd.so
session     [success=1 default=ignore]                   pam_succeed_if.so service in crond quiet use_uid
session     required                                     pam_unix.so
session     optional                                     pam_sss.so

5.2、登录测试

5.2.1、图形化界面登录测试

  图形化界面3次登录失败后截图:

  后台查看test用户锁定情况,使用命令: faillock --user test ,可以看到test用户登录失败3次后,已经被锁定,这时图形化登录界面即使输入正确密码也无法登录。

  使用命令: faillock --user test --reset ,解锁test用户

  解锁用户后,再次查询test账户锁定情况,这时锁定记录已经被清空了,代表用户可以正常登录图形化界面了。

   再次进行图形化界面登录测试,这时图形化界面可以正常登录。

 5.2.2、SSH远程登录测试

  ssh远程登录失败3次后截图:

  后台查看test用户锁定情况,使用命令: faillock ,可以看到主机192.168.5.92上的test用户登录失败3次后,已经被锁定,这时即使输入正确密码也无法登录。

  使用命令: faillock --user test --reset ,解锁远程主机192.168.5.92上的test用户,再次查看远程主机用户锁定情况,这时锁定记录已经被清空了,代表远程主机可以正常登录。(测试发现,使用命令: faillock --user 192.168.5.92 --reset ,没有报错,但是针对远程主机的IP进行解锁,无效)

  再次在远程主机上使用ssh进行远程登录,账户可以正常登录。

文章转载自:BK小君

原文链接:Linux用户登录失败锁定策略 - BK小君 - 博客园

体验地址:JNPF快速开发平台

Linux 服务器安全策略技巧:启用账户锁定策略
wjianwei666的专栏
12-29 1033
账户锁定策略是一种安全措施,用于限制对系统账户的访问。当账户被锁定时,用户将无法登录或执行任何操作。这可以防止未经授权的访问和恶意活动。启用账户锁定策略是保护Linux服务器安全的重要步骤。通过限制登录尝试次数和锁定时间,可以有效防止未经授权的访问和恶意活动。
【技术分享】SSH 爆破锁定
XMWS-IT
05-19 3084
实现原理 通过 PAM 模块的"pam_faillock" 实现; 作用是防止SSH被爆破登录,当密码输入错误次数超过阈值时,账户会被锁定,在锁定期间,即使输入正确的密码也会被拒绝登录 注意,该方式不仅作用于SSH,还会作用于控制台登录 操作步骤 1.编辑 /etc/pam.d/password-auth 和 /etc/pam.d/system-auth 文件,在2个文件中分别添加相同的3行;注意行数一定要和我一致 #%PAM-1.0 #Thisfileisauto-...
等保测评之服务器未配置登录失败锁定策略登录连接超时自动退出策略
guijianchouxyz的博客
10-13 1万+
等保测评之服务器未配置登录失败锁定策略登录连接超时自动退出策略 真是一事未完又来一事哈,昨天收到的等保测评出现了好多的问题,这里将部分问题做一下记录 看看问题 问题如下 测试服务器 主要是测试服务器是不是存在这种问题,经过测试问题存在,测试过程这里省略了 问题描述 恶意人员可通过暴力破解的方式获取账户口令。且设备易被非授权人员恶意操作,存在非授权访问的风险。 问题解决 一下文件配置完成后不需要重启服务器的哈,直接生效,还有就是在操作时,建议保持一个ssh远程连接到服务器,方便出现错误及时的回滚
linux尝试登录失败锁定用户账户的两种方法
09-15
主要给大家分享了linux尝试登录失败锁定用户账户的两种方法,分别是利用pam_tally2模块和pam_faillock 模块实现,文中通过详细的示例代码介绍的非常详细,需要的朋友可以参考借鉴,下面来一起看看吧。
linux服务器远程控制安全配置
m0_71158138的博客
03-04 2819
上面的错误意思是在/lib64/security/ 下面找不到pam_tally.so,而我进入到目录下,确实没找到这个文件,解决方法是将现有的 pam_tally2.so做个软连接到pam_tally.so。注:用户锁定期间,无论在输入正确还是错误的密码,都将视为错误密码,并以最后一次登录锁定起始时间,若果用户解锁后输入密码的第一次依然为错误密码,则再次重新锁定。1. 备份文件 cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak。
linux设置登录失败处理功能
fhw925464207的博客
06-06 4733
上面的错误意思是在/lib64/security/ 下面找不到pam_tally.so,而我进入到目录下,确实没找到这个文件,解决方法是将现有的 pam_tally2.so做个软连接到pam_tally.so。root_unlock_time=300 #与even_deny_root相对应的选项,如果配置该选项,则root用户登录失败次数超出限制后被锁定指定时间为300秒。(1)编辑系统/etc/pam.d/sshd文件,添加的内容与服务器终端的一致。1、登录失败处理功能策略(服务器终端)
Centos7下用户登录失败N次后锁定用户禁止登陆的方法
09-15
主要给大家介绍了关于在Centos7系统下用户登录失败N次后锁定用户禁止登陆的相关资料,文中先对PAM的配置文件进行了简单的介绍,然后通过示例代码将实现的方法介绍的非常详细,对大家的学习或者工作具有一定的参考...
linux用户登录失败N次锁定用户几分钟后该用户再自动解锁.pdf
10-08
本文档将详细讨论Linux环境下通过PAM模块实现的用户登录控制机制,特别是在用户连续登录失败达到一定次数后,系统将自动锁定用户账户,并在一段时间后自动解锁。 首先,PAM(Pluggable Authentication Modules)是...
单元学习linux用户登录失败N次锁定用户几分钟后该用户再自动解锁.pdf
10-08
- SUSE LINUX多次登录失败锁定用户及解锁: SUSE Linux系统下的操作与上述类似,只是可能需要根据具体版本的文档进行调整。 - 手动锁定用户: 使用`usermod -L username`命令可手动锁定用户,解锁则用`usermod ...
设置Linux用户连续N次登陆失败时,自动锁定X分钟
07-05
设置Linux用户连续N次登陆失败时,自动锁定X分钟.
linux配置用户多次登录终端失败锁定机制
weixin_51526597的博客
07-13 3721
linux配置用户多次登录终端失败锁定机制
无法登录Linux系统的解决策略
高性价比服务器就选:蓝易云
05-28 1309
总之,根据问题的具体原因,我们可以采用不同策略来解决无法登录Linux系统的问题。(3)在编辑器中找到“linux”或“linux16”一行,将光标移至该行结尾,输入" rw init=/bin/bash",然后按下Ctrl+X启动内核。(4)使用"fsck"命令检查和修复文件系统,例如:"fsck /dev/sda1"。(1)如果没有备份数据,请使用安装媒体的救援模式,将你的数据备份到另一个设备上。(4)重启计算机,尝试登录系统。(5)如果成功地修复了文件系统,重新启动计算机,看看是否能登录系统。
linux设置账户登陆失败次数锁定
qq_17576885的博客
12-28 1万+
说明 为防止遭受恶意暴力破解,设置账户登录尝试次数并进行锁定,有效保护账户的安全。 检查方法 1)在终端中输入命令: [test@localhost ~]$ more /etc/pam.d/common-auth 2)检查是否存在如下内容: auth required pam_faillock.so preauth autit deny=3 even_deny_root unlock_time=60 3)其中: deny=为登陆失败尝试次数 even_deny_root为root账户登录达到失败次数也会锁.
linux设置登录失败处理功能(密码错误次数限制、pam_tally2.so模块)和操作超时退出功能(/etc/profile)
热门推荐
hjxloveqsx的博客
02-13 1万+
linux设置登录失败处理功能(密码错误次数限制、pam_tally2.so模块)和操作超时退出功能(/etc/profile)
linux设置登录超时,登录失败策略
ChuandongTan的博客
08-03 8051
配置Linux密码策略:尝试密码N次失败锁定账号
bigwood99的博客
07-31 1万+
1.登录失败处理功能策略(服务器终端) vim /etc/pam.d/system-auth (服务器终端) 在首行#%PAM-1.0下增加: auth required pam_tally2.so onerr=fail deny=3 unlock_time=40 even_deny_root root_unlock_time=30 注意添加的位置,要写在第一行。 简要说明:普通帐户和 root 的帐户登录连续 3 次失败,就统一锁定 40 秒, 40 秒后可以解锁。...
Linux账户登录失败锁定配置
weixin_45494902的博客
08-18 7288
Linux账户登录失败锁定配置 服务器系统:centos6.5 1.备份要操作的两个配置文件 cp /etc/pam.d/sshd /etc/pam.d/sshd.bak cp /etc/pam.d/login /etc/pam.d/login.bak 2.检查是否有pam_tally2.so模块 [root@localhost /]# find /lib* -iname "pam_tally2.so" /lib64/security/pam_tally2.so [root@localhost /]#
linux系统设置登录失败n次锁定账户:vim /etc/pam.d/system-auth
weixin_34290631的博客
05-25 1715
auth required pam_env.so 登陆后的环境变量 auth sufficient pam_fprintd.so 指纹认证 auth sufficient pam_unix.so nullok try_first_pass 验证用户密码有效性 auth ...
Linux如何设置ssh登录失败锁定用户策略
最新发布
06-21
Linux 系统中,可以通过 PAM(Pluggable Authentication Modules)模块配置 SSH 登录失败后的用户锁定策略。以下是具体的配置方法。 #### 备份原始配置文件 在进行任何更改之前,备份原始配置文件以防止意外情况...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值