以前,我问过在RHEL6下使用pam_tally2 。 我想提出这个问题和答案来logging相同的函数推荐使用pam_faillock over pam_tally2 ;
Red Hat 6中build议的临时帐户locking策略是什么?
pam_faillock模块在Red Hat Enterprise Linux 6.1的技术说明中介绍给我们。 不知何故,直到现在,我的雷达飞行。
BZ# 644971
添加了一个新的pam_faillock模块,以在发生多次失败的身份validation尝试时支持用户帐户的临时locking。 这个新的模块改进了现有的pam_tally2模块的function,因为当通过屏幕保护程序进行身份validation尝试时,它还允许临时locking。
“ 安全指南”向我们解释了如何在第2.1.9.5节“账户locking”中使用该模块。
请按照以下步骤configuration帐户locking:
要在三次失败尝试后locking任何非root用户并在10分钟后解锁该用户,请将以下行添加到
/etc/pam.d/system-auth和/etc/pam.d/password-auth文件:auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600将以下行添加到上一步中指定的两个文件的帐户部分:
account required pam_faillock.so
我故意停在这里,因为这将提供大多数正在寻找的function。 如果您希望包含root用户,请参阅提供的链接。