CentOS 中利用 PAM 锁定多次登录失败用户的教程

在 CentOS 系统中，为了增强系统的安全性，防止恶意登录尝试，我们可以利用 PAM（Pluggable Authentication Modules，可插拔认证模块）来锁定多次登录失败的用户。以下是详细的教程：

确保您具有管理员权限。登录到 CentOS 服务器，打开终端。

接下来，编辑 PAM 配置文件 /etc/pam.d/system-auth 。使用您喜欢的文本编辑器，如 vi 或 nano 。

在文件中，找到类似于以下的行：

auth required pam_tally2.so

如果没有找到这一行，您可以手动添加它。

然后，我们需要配置一些参数来控制锁定的行为。例如，设置登录失败的次数阈值和锁定的时间。可以添加以下参数：

auth required pam_tally2.so deny=3 unlock_time=300

在上述配置中，deny=3 表示登录失败 3 次后锁定用户，unlock_time=300 表示锁定 300 秒（5 分钟）后自动解锁。您可以根据实际需求调整这些值。

保存并关闭配置文件。

为了使配置生效，我们需要重新启动相关的服务。可以使用以下命令：

systemctl restart sshd （如果您是通过 SSH 登录进行配置的）

或者

systemctl restart login （如果是本地登录）

现在，当用户连续登录失败达到设定的次数后，就会被锁定一段时间。

为了查看用户的登录失败次数和锁定状态，可以使用 pam_tally2 命令。例如：

pam_tally2 --user=username （将 username 替换为要查看的用户名）

通过以上步骤，您成功地在 CentOS 中利用 PAM 实现了对多次登录失败用户的锁定功能，有效地增强了系统的安全性，降低了潜在的风险。

需要注意的是，在实际应用中，要根据您的系统环境和安全需求进行合理的配置和调整，以达到最佳的安全效果。也要确保不会因为误操作导致正常用户被意外锁定，影响业务的正常运行。