打开

Centos7使用pam_faillock.so防止密码暴力破解

翻江蜃体育

2022-05-21 23:27江苏

关注

注:centos8开始不再使用pam_tall2替代的是faillock模块进行锁定验证。

配置参数如下 例如设置口令最大的出错次数 5 次,系统锁定后的解锁时间为 180 秒 在配置文件/etc/pam.d/system-auth 和/etc/pam.d/password-auth 中添加备份配置文件修改配置文件添加如下。auth required pam_faillock.so preauth audit silent deny=5 unlock_time=180 auth [success=1 default=bad] pam_unix.soauth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=180 auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=180account required pam_faillock.sopam_faillock.so 配置项说明 authfail:捕获用户登录失败的事件 deny=5:用户连续登录失败次数超过 5 次即被锁定unlock_time=180:普通用户自动解锁时间为 180 秒(即 3 分钟)even_deny_root:同样限制 root 帐户 修改步骤

修改前配置文件配置如下

打开网易新闻 查看更多图片

修改system-auth文件 注意添加顺序及位置。

[root@sechost pam.d]# cat system-auth#%PAM-1.0# This file is auto-generated.# User changes will be destroyed the next time authconfig is run.auth required pam_env.soauth required pam_faillock.so preauth audit silent deny=5 unlock_time=180 #添加auth required pam_faildelay.so delay=2000000auth sufficient pam_fprintd.soauth sufficient pam_unix.so nullok try_first_passauth [success=1 default=bad] pam_unix.so #添加auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=180 #添加auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=180 #添加auth requisite pam_succeed_if.so uid >= 1000 quiet_successauth required pam_deny.soaccount required pam_unix.soaccount sufficient pam_localuser.soaccount sufficient pam_succeed_if.so uid < 1000 quietaccount required pam_permit.soaccount required pam_faillock.so #添加password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtokpassword required pam_deny.sosession optional pam_keyinit.so revokesession required pam_limits.so-session optional pam_systemd.sosession [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uidsession required pam_unix.so

修改password-auth文件

[root@sechost pam.d]# cat password-auth#%PAM-1.0# This file is auto-generated.# User changes will be destroyed the next time authconfig is run.auth required pam_env.soauth required pam_faillock.so preauth audit silent deny=5 unlock_time=180 #添加auth required pam_faildelay.so delay=2000000auth sufficient pam_unix.so nullok try_first_passauth [success=1 default=bad] pam_unix.so #添加auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=180 #添加auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=180 #添加auth requisite pam_succeed_if.so uid >= 1000 quiet_successauth required pam_deny.soaccount required pam_unix.soaccount sufficient pam_localuser.soaccount sufficient pam_succeed_if.so uid < 1000 quietaccount required pam_permit.soaccount required pam_faillock.so #添加password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtokpassword required pam_deny.sosession optional pam_keyinit.so revokesession required pam_limits.so-session optional pam_systemd.sosession [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uidsession required pam_unix.so 测试

Xshell模拟登陆失败测试

执行faillock查看登陆失败的次数

打开网易新闻 查看更多图片

锁定后同时console窗口本地也无法登陆

[root@sechost pam.d]# faillock --user test1 –reset 重置[root@sechost pam.d]# faillocktest1:When Type Source Valid

用户解锁后再次登陆测试,用户可以正常访问

特别声明:本文为网易自媒体平台“网易号”作者上传并发布,仅代表该作者观点。网易仅提供信息发布平台。
打开网易新闻,阅读体验更佳
帮TA点赞
目前还没有跟贴,欢迎发表观点
网易热搜每30分钟更新
打开应用 查看全部
打开