包括root用户
auth required pam_faillock.so preauth silent audit deny=3 even_deny_root unlock_time=600
auth sufficient pam_unix.so nullok try_first_pass
auth [default=die] pam_faillock.so authfail audit deny=3 even_deny_root unlock_time=600
auth sufficient pam_faillock.so authsucc audit deny=3 even_deny_root unlock_time=600
Redhat 6/7 设置密码输入错误x次,锁定y秒
小记:在网上查了很多资料,基本上可以在文本模式实现锁定,但是在命令行不行,最后查了红帽官网的安全指南做出来了,不禁感叹,做啥都是原版的好啊!
非root用户输入密码超过次数锁定
要实现在三次失败尝试后,对任何非 root 用户进行锁定,并在十分钟后对该用户解锁,则须添加以下命令行到 /etc/pam.d/system-auth 文件和/etc/pam.d/password-auth 文件中的 auth 区段:
一定要放在#%PAM-1.0的下面一行,不然可能不生效
如果想要实现图形化界面也锁定的话,同样需要修改/etc/pam.d/gdm 和 /etc/pam.d/gdm-passowrd
auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth sufficient pam_unix.so nullok try_first_pass
auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600
设置完成之后,输入3次错误,即锁定用户十分钟,期间输入的密码即使是对的,也会提示错误。
root用户输入密码超过次数锁定
要让账户锁定也适用于 root 用户,则须在 /etc/pam.d/system-auth 文件和 /etc/pam.d/password-auth 文件中的pam_faillock 条目里添加 even_deny_root 选项:
注意:一定要放在#%PAM-1.0的下面一行,不然可能不生效
如果想要实现图形化界面也锁定的话,同样需要修改/etc/pam.d/gdm 和 /etc/pam.d/gdm-passowrd
auth required pam_faillock.so preauth silent audit deny=3 even_deny_root unlock_time=600
auth sufficient pam_unix.so nullok try_first_pass
auth [default=die] pam_faillock.so authfail audit deny=3 even_deny_root unlock_time=600
auth sufficient pam_faillock.so authsucc audit deny=3 even_deny_root unlock_time=600
