Linux設(shè)置用戶密碼輸入錯(cuò)誤的最大次數(shù)

規(guī)則描述：設(shè)置口令認(rèn)證失敗后的鎖定策略 為了保障用戶系統(tǒng)的安全，建議用戶設(shè)置口令出錯(cuò)次數(shù)的閾值，以及由于口令嘗試被鎖定用戶的自動(dòng)解鎖時(shí)間。用戶鎖定期間，任何輸入被判定為無效，鎖定時(shí)間不因用戶的再次輸入而重新計(jì)時(shí)；解鎖后，用戶的錯(cuò)誤輸入記錄被清空。通過上述設(shè)置可以有效防范口令被暴力破解，增強(qiáng)系統(tǒng)的安全性。

修改方法:例如設(shè)置口令最大的出錯(cuò)次數(shù) 5 次，系統(tǒng)鎖定后的解鎖時(shí)間為 180 秒 在配置文件/etc/pam.d/system-auth 和/etc/pam.d/password-auth 中添加

auth required pam_faillock.so preauth audit silent deny=5 unlock_time=180

auth [success=1 default=bad] pam_unix.so

auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=180

auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=180

pam_faillock.so 配置項(xiàng)說明

• authfail:捕獲用戶登錄失敗的事件
• deny=5:用戶連續(xù)登錄失敗次數(shù)超過 5 次即被鎖定
• unlock_time=180:普通用戶自動(dòng)解鎖時(shí)間為 180 秒（即 3 分鐘）
• even_deny_root:同樣限制 root 帳戶

修改前：

修改后：