Centos7密码登录失败锁定用户的设置

CentOS 7密码登录失败锁定用户的设置

在Linux系统中，为了保护系统安全，防止恶意用户尝试猜测密码或者暴力破解密码，通常会设置密码登录失败的次数限制，当用户连续输入错误的密码次数达到一定数量时，系统会自动锁定该用户账户，以防止进一步的攻击，本文将介绍如何在CentOS 7系统中设置密码登录失败锁定用户的功能。

使用PAM(Pluggable Authentication Modules)实现密码登录失败锁定

PAM(Pluggable Authentication Modules)是一个用于管理用户认证过程的框架，它允许管理员在不修改系统源代码的情况下，通过加载和卸载不同的认证模块来扩展系统的认证功能，在CentOS 7中，可以使用pam_tally2模块来实现密码登录失败锁定的功能。

1、安装pam_tally2模块：

sudo yum install pam-libs

2、编辑/etc/pam.d/system-auth文件，添加以下内容：

password    requisite    pam_tally2.so deny=5 unlock_time=36000

这里的参数解释如下：

deny=5:表示允许用户连续输入错误密码的次数为5次。

unlock_time=36000:表示账户被锁定的时间，单位为秒，这里设置为36000秒(1小时)。

3、重启系统或者重新登录，测试密码登录失败锁定功能是否生效。

其他实现密码登录失败锁定的方法

除了使用PAM模块外，还可以使用/etc/security/time.conf文件来实现密码登录失败锁定的功能，以下是具体操作步骤：

1、编辑/etc/security/time.conf文件，添加以下内容：

[Last]       Min=5       Max=36000       Factor=3600      Warn=7200      Count=5    UseChroot=no    SuspDeny=yes    LockOutMethod=faillock_accnt_tally_auth

这里的参数解释如下：

Min:表示用户允许连续输入错误密码的最小次数。

Max:表示用户允许连续输入错误密码的最大次数。

Factor:表示每次输入错误密码后，账户被锁定的时间间隔，这里设置为3600秒(1小时)。

Warn:表示在账户被锁定前发出警告的时间间隔，这里设置为7200秒(2小时)。

Count:表示账户被锁定的总次数，这里设置为5次。

UseChroot:表示是否启用chroot环境，这里设置为no,表示不启用chroot环境。

SuspDeny:表示是否禁止用户使用sudo命令，这里设置为yes,表示禁止用户使用sudo命令。

LockOutMethod:表示账户被锁定的策略，这里设置为faillock_accnt_tally_auth,表示使用账户计数器进行锁定。

2、保存并关闭文件，然后重启系统或者重新登录，测试密码登录失败锁定功能是否生效。

相关问题与解答

1、为什么需要设置密码登录失败锁定？

答：设置密码登录失败锁定的目的是为了保护系统安全，防止恶意用户尝试猜测密码或者暴力破解密码，当用户连续输入错误的密码次数达到一定数量时，系统会自动锁定该用户账户，以防止进一步的攻击。

2、如何解除账户的锁定状态？

答：要解除账户的锁定状态，可以使用passwd命令修改用户的最后一次登录时间，从而重置账户的锁定计数器，要解除账户user1的锁定状态，可以执行以下命令：

sudo passwd --delete user1 >/dev/null 2>&1 && sudo chage -E -1 user1 >/dev/null 2>&1 && sudo chage -l user1 >/dev/null 2>&1 && sudo lastlog -u user1 >/dev/null 2>&1 && sudo killall -u user1 >/dev/null 2>&1 && sudo service sshd restart >/dev/null 2>&1 && echo "User account unlocked"