前言

在安全性要求比较高的环境中，要求Linux系统要有账户锁定策略，防止被爆破。

pam_tally2

pam_tally2模块用于某些数对系统进行失败的ssh登录尝试后锁定用户帐户。 此模块保留已尝试访问的计数和过多的失败尝试。

pam_tally2模块有两个部分，一个是pam_tally2.so，另一个是pam_tally2。 前者是一个模块，而后者是独立的应用程序，可以被用于检查和调节计数器文件，可以显示用户登录尝试次数，单独设置计数，解锁所有用户计数。

pam_tally2.so配置参数

pam_tally2.so [file=/path/to/counter] [onerr=[fail|succeed]]

[magic_root] [even_deny_root] [deny=n] [lock_time=n]

[unlock_time=n] [root_unlock_time=n] [serialize] [audit]

[silent] [no_log_info] [debug]

onerr ： 当发生异常是，返回PAM_SUCCESS或pam错误代码。

file： 计数文件的路径。

magic_root：如果UID=0的用户（一般只有root用户），调用时计数不递增

even_deny_root：root用户可以被锁定。

deny：如果计数超过n次，就拒绝访问。

lock_time：在尝试失败后，拒绝访问多少秒。

unlock_time：允许在尝试失败后的N秒访问。如果使用此选项，用户在超过最大允许尝试后将被锁定指定的时间量。否则，帐户被锁定，直到系统管理员手动干预锁定被移除。

root_unlock_time：这个选项启用，意味着even_deny_root启用。如果使用此选项，root在超过最大允许尝试后将被锁定指定的时间量。

serialize：使用序列化锁来处理tally文件的访问。这个仅用于非多线程的服务，因为这个是基于文件锁。

audit：如果用户不存在，将会记录在系统日志中。

silent：不打印INFO信息

no_log_info：不记录INFO信息到syslog

debug：在系统日志里面记录debug信息

pam_tally2命令参数

pam_tally2 [--file /path/to/counter] [--user username] [--reset[=n]]

[--quiet]

--file：指定tally计数文件的路径。

--user ：查询指定用户的信息。

--reset： 重置计数。

--quiet：不返回信息。

例子

使用/etc/pam.d/system-auth或etc/pam.d/password-auth配置文件来配置的登录尝试的访问

auth required pam_tally2.so deny=3 unlock_time=600

account required pam_tally2.so

查看test用户的计数状态

pam_tally2 -u test