pam_tally2
pam_tally2 是 Pluggable Authentication Modules (PAM) 的一个模块。PAM 是 Pluggable Authentication Modules 的缩写,而 tally 在英语中有”计数”的含义。因此,pam_tally2 可以理解为一个 PAM 模块,用于记录和限制用户认证尝试的次数。
pam_tally2 用于跟踪用户登录失败的次数,并根据配置采取相应的措施,如锁定账户或发出警告。这在增强系统安全性、防止暴力破解攻击时特别有用。
通过配置 pam_tally2,系统管理员可以设置在指定次数的登录失败后锁定账户,或者在用户下次成功登录时提醒他们之前的失败尝试次数。
#修改本地登陆配置 #vi /etc/pam.d/login #修改ssh登陆配置 vi /etc/pam.d/sshd #添加如下配置,密码输错3次,每次输入间隔10秒,普通账号锁定5分钟,root账号锁定10分钟 auth required pam_tally2.so deny=3 lock_time=10 unlock_time=300 even_deny_root root_unlock_time=600
#查看账户失败次数 pam_tally2 -u root #重置失败次数 pam_tally2 -r -u root
pam.d文件夹
Linux 和 Unix 系统中,/etc/pam.d/ 文件夹用于存储 PAM(Pluggable Authentication Modules)的配置文件。每个文件对应系统中一个或多个服务的认证配置。这个目录是 PAM 配置的关键部分,允许系统管理员为不同的服务(如登录、SSH、sudo 等)设置独立的认证策略。
主要特点
• 服务配置:/etc/pam.d/ 目录中的每个文件对应一个服务或应用程序的 PAM 配置。这些配置文件定义了如何处理与该服务相关的身份验证请求。
• 文件命名:配置文件通常以服务名命名,如 login、sshd、sudo 等。这些文件控制特定服务的认证行为。
• 配置格式:每个文件包含一系列 PAM 模块的配置行,定义了使用哪些 PAM 模块及其配置选项。每一行的格式通常为:
