身份鉴别——Linux配置登录失败处理功能

对于一台服务器而言，有两种登录方式：本地登录和远程登录，登录失败处理功能的配置也从这两个方面来配置。由于系（例如Red Hat Linux和）和系（例如）在配置上稍有不同，所以分开来说。

RHEL（Red Hat Linux） 配置

红帽的登录失败处理功能主要由/etc/pam.d/-auth和/etc/pam.d/-auth来实现。其中，/etc/pam.d/-auth控制本地登录失败处理，/etc/pam.d/-auh控制远程登录失败处理。

首先配置/etc/pam.d/-auth，在第一个auth行插入一行如下：

auth        required      pam_tally2.so deny=3 lock_time=20 unlock_time=60 even_deny_root root_unlock_time=60

完成后如下：

[root@Oracle ~]# cat /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_tally2.so deny=3 lock_time=20 unlock_time=60 even_deny_root root_unlock_time=60 
auth        required      pam_env.so
auth        required      pam_faildelay.so delay=2000000
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.soaccount     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.sopassword    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.sosession     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

参数解释：

deny：触发登录失败锁定功能的次数；

：锁定时间，单位为秒；

：触发登录失败处理功能后锁定的时长，单位为秒；

：启用对root账户的登录失败处理；

：root账户触发登录失败锁定后锁定的时长，单位为秒。

测试 本地登录：

可以看到，在输入错误一次密码后，系统返回了账户被临时封锁，剩余时间8秒，然后我输入了正确的密码，登录还是失败了。root账户在登录失败3次后也被锁定了。

远程登录：

但是当我们使用SSH远程登录的时候，却没有收到登录失败的锁定提示，说明上面的配置对于远程登录是无效的。

我们将相同的配置再添加到/etc/pam.d/-auth中：

[root@Oracle ~]# cat /etc/pam.d/password-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_tally2.so deny=3 lock_time=20 unlock_time=60 even_deny_root root_unlock_time=60
auth        required      pam_env.so
auth        required      pam_faildelay.so delay=2000000
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.soaccount     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.sopassword    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtokpassword    required      pam_deny.sosession     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so

此时我们再使用SSH进行远程登录测试：

我们使用命令查看一下账户的锁定状态，发现账户已经被锁定了：

[root@Oracle ~]# pam_tally2 --user shenji
Login           Failures Latest failure     From
shenji              8    03/02/22 08:39:09  192.168.0.102
[root@Oracle ~]#date
Wed Mar  2 08:39:13 EST 2022

只要登录成功一次后，登录失败的计数将清零。

配置

的登录失败处理功能主要由/etc/pam.d/login和/etc/pam.d/-auth来实现。其中，/etc/pam.d/login控制本地登录失败处理，/etc/pam.d/-auth控制远程登录失败处理。

首先配置/etc/pam.d/login，在第一个auth行插入一行如下：

auth       required   pam_tally2.so     deny=3 lock_time=20 unlock_time=60 even_deny_root root_unlock_time=60

root@Server01:~# cat /etc/pam.d/login | grep -v "#"auth       required   pam_tally2.so     deny=3 lock_time=20 unlock_time=60 even_deny_root root_unlock_time=60
auth       optional   pam_faildelay.so  delay=3000000auth [success=ok new_authtok_reqd=ok ignore=ignore user_unknown=bad default=die] pam_securetty.soauth       requisite  pam_nologin.sosession [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so closesession       required   pam_env.so readenv=1
session       required   pam_env.so readenv=1 envfile=/etc/default/locale@include common-authauth       optional   pam_group.sosession    required   pam_limits.sosession    optional   pam_lastlog.sosession    optional   pam_motd.so motd=/run/motd.dynamic
session    optional   pam_motd.so noupdatesession    optional   pam_mail.so standardsession    required     pam_loginuid.so@include common-account
@include common-session
@include common-passwordsession [success=ok ignore=ignore module_unknown=ignore default=bad] pam_selinux.so open
root@Server01:~#

测试 本地登录

通过shell查询，发现账户已被锁定。

root@Server01:~# pam_tally2 -u shenji
Login           Failures Latest failure     From
shenji              4    03/02/22 22:01:12  

远程登录

root@Server01:~# pam_tally2 -u shenji
Login           Failures Latest failure     From
shenji              4    03/02/22 22:01:12

通过shell查询，通过远程登录产生的登录失败未被记入到计数。

现在我们将相同的配置添加到/etc/pam.d/-auth：

root@Server01:~# cat /etc/pam.d/common-auth | grep -v "#"auth       required   pam_tally2.so     deny=3 lock_time=20 unlock_time=60 even_deny_root root_unlock_time=60
auth    [success=1 default=ignore]      pam_unix.so nullok_secure
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so
root@Server01:~#

root@Server01:~# pam_tally2 -u shenji
Login           Failures Latest failure     From
shenji              1    03/02/22 22:26:12  192.168.141.1
root@Server01:~# pam_tally2 -u shenji
Login           Failures Latest failure     From
shenji              1    03/02/22 22:26:12  192.168.141.1
root@Server01:~# pam_tally2 -u shenji
Login           Failures Latest failure     From
shenji              2    03/02/22 22:26:38  192.168.141.1

在测试的时候，发现当设置了的时候，如果在指定的时间内连续输入多次密码，那么也只会被记为一次，只有两次登录失败的时间大于指定的时间时才会被记录为两次；如果不指定，那么连短时间内多次输入错误密码，错误几次就会被记录为几次。无论是本地登录还是远程登录都是一样的结果。