测试系统:Asianux3.0sp2x86
kernel:2.6.18-128.7
pam版本:pam-0.99.6.2-4.1AXS3
操作方法:
一、在字符终端下,实现某一用户连续错误登陆N次后,就锁定该用户X分钟。
执行vi/etc/pam.d/login
在#%PAM-1.0下新起一行,加入
authrequiredpam_tally2.sodeny=3unlock_time=5even_deny_rootroot_unlock_time=10
如果不限制root用户,则可以写成
authrequiredpam_tally2.sodeny=3unlock_time=5
1其中大概含义如下:
2even_deny_root也限制root用户;
3deny设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户;
4unlock_time设定普通用户锁定后,多少时间后解锁,单位是秒;
5root_unlock_time设定root用户锁定后,多少时间后解锁,单位是秒;
此处使用的是pam_tally2模块,如果不支持pam_tally2可以使用pam_tally模块。另外,不同的pam版本,设置可能有所不同,具体使用方法,可以参照相关模块的使用规则。
二、在图形登陆界面下,实现某一用户连续错误登陆N次后,就锁定该用户X分钟。
执行vi/etc/pam.d/kde
在#%PAM-1.0下新起一行,加入
authrequiredpam_tally2.soeven_deny_rootdeny=3unlock_time=5root_unlock_time=10
如果不限制root用户,则可以写成
authrequiredpam_tally2.sodeny=3unlock_time=5
三、也可以直接在system-auth文件中直接添加这些命令,修改完成后,凡是调用system-auth文件的服务,都会生效。因为有自动解锁时间,所以,不用担心全部限制后,会出现永远无法登陆的“尴尬”情况。
备注:
可以使用pam_tally2-r-uusername命令,手动清除某用户记录次数。