pam_faillock防止系统爆破登入

vim /etc/pam.d/password-auth
auth required pam_env.so

auth required pam_faillock.so preauth silent

auth required pam_faildelay.so delay=2000000
auth [default=1 ignore=ignore success=ok] pam_usertype.so isregular
auth [default=1 ignore=ignore success=ok] pam_localuser.so
auth sufficient pam_unix.so nullok

auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600

auth [default=1 ignore=ignore success=ok] pam_usertype.so isregular
auth sufficient pam_sss.so forward_pass
auth required pam_deny.so

account required pam_faillock.so

account required pam_unix.so no_pass_expiry
account sufficient pam_localuser.so
account sufficient pam_usertype.so issystem
account [default=bad success=ok user_unknown=ignore] pam_sss.so
account required pam_permit.so

password requisite pam_pwquality.so local_users_only
password sufficient pam_unix.so sha512 shadow nullok use_authtok
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so

audit 表示将在/var/log/secure中启用日志审核
deny=3 登入失败3次后锁定用户
unlock_time=600 解锁时间600秒，永久锁定则设置为never
默认情况下，锁定机制对root用户不生效
cat /etc/pam.d/password.auth > /etc/pam.d/system-auth
systemctl restart sshd
grep -i lock /var/log/secure(或faillock命令)

system-auth是一个PAM（Pluggable Authentication Modules）配置文件，它位于/etc/pam.d/目录下。PAM是Linux系统中用于统一管理用户认证的机制，它允许系统管理员为各种应用程序和系统服务配置一致的认证方式。

system-auth文件用于统一管理系统的用户认证，它包含了多个PAM模块的配置，这些模块按照从上往下的顺序依次调用。每个模块都有其特定的功能，例如身份验证、密码检查、账户管理等。

具体来说，system-auth中的每个认证过程都由一个PAM模块完成，每个模块都有其特定的功能和参数设置。以下是一些常见的PAM模块和其功能：

auth模块：用于身份验证，可以要求用户输入密码或其他身份信息。
account模块：用于账户管理，可以检查账户是否过期、是否允许登录等。
password模块：用于密码管理，可以要求用户设置或更改密码。
session模块：用于管理会话，可以设置会话的初始化和结束操作。

感谢您的来访，获取更多精彩文章请收藏本站。