已弃用模块
概述
pam_tally2.so 模块
参考:
弃用说明:
- GitHub,linux-pam 项目 1.4.0 版本中对 pam_tall2 模块的弃用说明 最后一行
- https://access.redhat.com/solutions/62949
- https://github.com/dev-sec/ansible-collection-hardening/issues/377
- 由 pam_faillock 模块代替
登录 Tallying(计数器) 模块
应用场景:设置 Linux 用户连续 N 次输入错误密码进行登陆时,自动锁定 X 分钟或永久锁定(这里的永久锁定指除非进行手工解锁,否则会一直锁定)。
配置
/var/log/faillog #
模块参数
- deny=INT # 指定认证失败 deny 次后,将执行后面参数的策略。如锁定 N 秒,如果后面没有其他策略指定时,默认永远锁定,除非手动解锁。
- lock_time=INT # 认证失败时锁定 lock_time 秒
- unlock_time=INT # 锁定 unlock_time 秒后,自动解锁用户;
- even_deny_root # root 用户在认证出错时,一样被锁定(该功能慎用)
- root_unlock_time # root 用户锁定后,多久会解锁。该选项一般是配合 even_deny_root 一起使用的。
- magic_root # 如果用户 uid = 0(即 root 账户或相当于 root 的帐户)在帐户认证时调用该模块发现失败时,不计入统计;
- no_lock_time # 不使用.fail_locktime 项在/var/log/faillog 中记录用户 ---按英文直译不太明白,个人理解即不进行用户锁定;
模块的命令行工具
pam_tally2
pam_tally2 模块的控制工具,用于查询和操作计数器文件(/var/log/faillog)。e.g.查看用户登录失败的次数、清除用户登录失败的次数等等操作
EXAMPLE
- pam_tally2 –user ftp # 查询 ftp 用户被锁定情况
- pam_tally2 –user ftp –reset=0 # 解锁 ftp 用户
反馈
此页是否对你有帮助?
Glad to hear it! Please tell us how we can improve.
Sorry to hear that. Please tell us how we can improve.