主页 / server / 问题 / 594025
Accepted
Aaron Copley
Asked: 2014-05-09 13:52:46 +0800 CST

在 RHEL6 中使用 pam_faillock 锁定帐户

  • 772

之前,我问过在 RHEL6 下使用 pam_tally2。我想提出这个问题和答案来记录推荐使用pam_faillock 而不是 pam_tally2来实现相同的功能;

在 Red Hat 6 中临时帐户锁定的推荐策略是什么?

redhat

1 个回答

  1. Best Answer

    pam_faillock 模块是在Red Hat Enterprise Linux 6.1 的技术说明中介绍给我们的。不知何故,直到现在,这一切都在我的雷达之下。

    BZ# 644971
    添加了一个新的 pam_faillock 模块以支持在多次失败的身份验证尝试时临时锁定用户帐户。这个新模块改进了现有 pam_tally2 模块的功能,因为它还允许在通过屏幕保护程序完成身份验证尝试时临时锁定。

    安全指南在第 2.1.9.5 节“帐户锁定”中向我们解释了如何使用该模块。

    请按照以下步骤配置帐户锁定:

    要在 3 次尝试失败后锁定任何非 root 用户并在 10 分钟后解锁该用户,请将以下行添加到文件的 auth/etc/pam.d/system-auth部分/etc/pam.d/password-auth

    auth        required       pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth        sufficient     pam_unix.so nullok try_first_pass
auth        [default=die]  pam_faillock.so authfail audit deny=3 unlock_time=600

    将以下行添加到上一步中指定的两个文件的帐户部分:

    account     required      pam_faillock.so

    我特意停在这里,因为这将提供大多数人正在寻找的功能。如果您希望包含 root 用户,请继续阅读提供的链接。

    • 4

相关问题