linux中可以使用pampam_tally2.so模块来实现。

  linux对账户的锁定功能比windows的要更加广泛,强大,windows组策略中的限制,只是在系统层面的限制,而linux借助pam(Pluggable Authentication Modules,插件式认证模块)的强大,不单止可以系统层面实现,还能在各中支持pam的应用中实现这种安全锁定策略。

su 多次切换失败后锁定用户

1

2

3

vi /etc/pam.d/system-auth

auth required pam_env.so

auth required pam_tally2.so even_deny_root deny=3 unlock_time=120

注意:
1
、顺序不要错,一定要在pam_env.so后面
2
deny:拒绝次数
3
even_deny_root:包含root用户
4
unlock_time:解锁时间 root_unlock_time:root账户解锁时间

SSH方式登录错误的限制

在文件/etc/pam.d/sshd

 

添加auth       required     pam_tally2.so  deny=5 unlock_time=300

注意添加地点在 #%PAM-1.0  下一行

TELNET用户限制

在文件/etc/pam.d/remote中修改,方式与SSH一样

注意:
1
、顺序不要错,一定要在pam_env.so后面
2
deny:拒绝次数
3
even_deny_root:包含root用户
4
unlock_time:解锁时间

手动解锁

 pam-tally2 –u 账号    查看失败登录

 pam-tally2 –u 账号 –r    清楚失败登录后可以登录