1设置密码复杂度,登录失败锁定用户
1.1、设置密码复杂度
编辑/etc/pam.d/common-password文件,在pam_cracklib.so行末增加以下内容
例如:password ?requisite ?pam_cracklib.so ?retry=3 minlen=10 difok=3 dcredit=-1 ucredit=-1 lcredit=-1
说明:1)dcredit针对数字,ucredit针对大写字母,lcredit针对小写字母
? ? ? ? ? 2)负数表示至少的个数,正数表示最多的个数,-1表示至少1位
1.2、登录失败锁定用户
编辑/etc/pam.d/common-auth,增加
auth required ??pam_tally2.so ??deny=5 ??unlock_time=180 even_deny_root root_unlock_time=180
这是整体加固,ssh访问也受控制。
说明:even_deny_root 也限制root用户;
deny ?设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户;
unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒;
root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒;
1.3、查看admin用户登录失败次数
sudo pam_tally2 --user admin
1.4、解锁admin用户
sudo pam_tally2 --user admin --reset