Linux如何通過(guò)PAM限制用戶登錄失敗次數(shù)

　　現(xiàn)在很多地方都有限制用戶登錄的功能，Linux也是如此，當(dāng)你登錄失敗多次后就可以限制用戶登錄，從而起到保護(hù)電腦安全的作用，通過(guò)PAM模塊即可實(shí)現(xiàn)，下面隨小編一起來(lái)了解下吧。

　　Linux有一個(gè)pam_tally2.so的PAM模塊，來(lái)限定用戶的登錄失敗次數(shù)，如果次數(shù)達(dá)到設(shè)置的閾值，則鎖定用戶。

　　編譯PAM的配置文件# vim /etc/pam.d/login

　　#%PAM-1.0

　　auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10

　　auth ［user_unknown=ignore success=ok ignoreignore=ignore default=bad］ pam_securetty.so

　　auth include system-auth

　　account required pam_nologin.so

　　account include system-auth

　　password include system-auth

　　# pam_selinux.so close should be the first session rule

　　session required pam_selinux.so close

　　session optional pam_keyinit.so force revoke

　　session required pam_loginuid.so

　　session include system-auth

　　session optional pam_console.so

　　# pam_selinux.so open should only be followed by sessions to be executed in the user context

　　session required pam_selinux.so open

　　各參數(shù)解釋

　　even_deny_root 也限制root用戶；

　　deny 設(shè)置普通用戶和root用戶連續(xù)錯(cuò)誤登陸的最大次數(shù)，超過(guò)最大次數(shù)，則鎖定該用戶

　　unlock_time 設(shè)定普通用戶鎖定后，多少時(shí)間后解鎖，單位是秒；

　　root_unlock_time 設(shè)定root用戶鎖定后，多少時(shí)間后解鎖，單位是秒；

　　此處使用的是 pam_tally2 模塊，如果不支持 pam_tally2 可以使用 pam_tally 模塊。另外，不同的pam版本，設(shè)置可能有所不同，具體使用方法，可以參照相關(guān)模塊的使用規(guī)則。

　　在#%PAM-1.0的下面，即第二行，添加內(nèi)容，一定要寫在前面，如果寫在后面，雖然用戶被鎖定，但是只要用戶輸入正確的密碼，還是可以登錄的！