[Linux]el8安全配置faillock：登录失败达阈值自动锁定账户配置

前言

本篇文章的配置仅使用于el8版本的Linux，目前已在centos8、BCLinux8上验证成功，其他版本系统是否可行还得考查。
el8中管理用户登录失败锁定账户所用的模块是faillock.so，如果想要将配置应用与其他版本的Linux，建议确认Linux上是否存在faillock模块，并且在配置之前使用同版本的虚拟机进行配置测试，并在正式配置之前进行必要的备份操作。
——这个配置的风险可能会远比你预想的高，如果配置错了，你可能没有挽回的机会，不得不重装系统。哥们在这个问题上吃过一次大亏，引以为戒。

一、配置内容

auth required pam_faillock.so preauth silent audit deny=3 unlock_time=300
auth [success=1 default=ignore] pam_unix.so nullok_secure
auth required pam_faillock.so authfail audit deny=3 unlock_time=300
account required pam_faillock.so

这个是配置的内容，其中deny=3表示输错3次锁定账号，unlock_time=300表示锁定时间，单位为秒。
这两个参数可以根据实际情况进行修改，注意前后统一，并且不要改动其他内容。

二、需要配置的文件

sudo vi /etc/pam.d/login
sudo vi /etc/pam.d/sshd
sudo vi /etc/pam.d/system-auth
sudo vi /etc/pam.d/password-auth

从安全方面考虑，以上几个文件都需要加以限制，它们分别对不同方面的安全认证进行管理，你可以根据实际情况进行调整，我简单介绍下这几个配置分别管理了什么：

• login：管理本地用户登录的配置，例如你用的vmware虚拟机，在vmware虚拟机窗口中进行登录时，会进行该文件的认证逻辑。
• sshd：管理远程ssh登录认证的配置。例如你通过ssh软件连接到vmware虚拟机，那么进入的将会是这个文件的认证逻辑。
• system-auth：当用户在系统中进行管理操作，执行sudo权限相关的命令时，例如sudo vi /etc/my.cnf，将会进行这个文件的认证逻辑。
• passord-auth：当用户执行passwd命令尝试修改密码时，将会进入该文件的认证逻辑。

如果你对其中的某个文件的修改有误，导致文件中的认证逻辑无法成功走下去，那么最终便会认证失败，即使你一直输入的时正确的密码。
例如当你对system-auth文件进行修改有误，导致文件的认证逻辑无法成功走下去，那么你的所有sudo命令都语法成功执行，100%“密码错误”。（单是这种情况情况还可以抢救，不用急着remake）

三、配置的细节

认证配置文件中的逻辑具有前后关系，不可随意颠倒。
pam文件的配置有四个指令：

• auth：用于处理用户认证，即验证用户的身份。
• account：用于检查用户的账号状态，确保用户有权登录系统。
• session：即在用户成功登录后，系统如何处理会话的建立和终止。
• password：处理密码管理，即当用户更改密码时，系统如何处理密码的更改

配置文件的配置，一般都是以auth、account、session、password的顺序进行配置的。
而我们配置的内容是3条auth指令和一条account指令，因此应该要加在原本的auth和account指令之间。
如下所示：

auth        required                                     pam_env.so
auth        required                                     pam_faildelay.so delay=2000000
auth        sufficient                                   pam_fprintd.so
auth        [default=1 ignore=ignore success=ok]         pam_usertype.so isregular
auth        [default=1 ignore=ignore success=ok]         pam_localuser.so
auth        sufficient                                   pam_unix.so nullok
auth        [default=1 ignore=ignore success=ok]         pam_usertype.so isregular
auth        sufficient                                   pam_sss.so forward_pass
auth        required                                     pam_deny.so
<faillock的配置加在这里>
account     required                                     pam_unix.so
account     sufficient                                   pam_localuser.so
account     sufficient                                   pam_usertype.so issystem
account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     required                                     pam_permit.so

password    requisite                                    pam_pwquality.so local_users_only
password    sufficient                                   pam_unix.so sha512 shadow nullok use_authtok
password    [success=1 default=ignore]                   pam_localuser.so
password    sufficient                                   pam_sss.so use_authtok
password    required                                     pam_deny.so

session     optional                                     pam_keyinit.so revoke
session     required                                     pam_limits.so
-session    optional                                     pam_systemd.so
session     [success=1 default=ignore]                   pam_succeed_if.so service in crond quiet use_uid
session     required                                     pam_unix.so
session     optional                                     pam_sss.so

注：此处仅做实例，其他pam配置可能与你系统上的有所差别，但这不是重点，你只明确应该把我们的配置放在哪里就行。其他无关的配置，请不要随意改动，避免给自己造成麻烦。

四、配置的日志

4.1 监视认证日志

sudo tail -f /var/log/secure

在你配置之前，建议单独开一个会话，执行以上命令，这个文件中记录着安全认证的情况，如果你的配置出现问题，也将会在这里找到线索。
注意一定要在修改配置之前，因为也只有这个时候，你才能100%查看这个文件的内容。

4.2 保持连接会话

在修改完成之后，建议保持当前会话不断开，并尝试新建一个新的会话。
这是因为，pam认证配置有误，会导致认证失败，新会话无法建立。但是原有的会话并不会断开。

---

原创内容，转载请说明出处。
这个pam认证配置的更多细节，我至今没有完成了解，欢迎大佬在评论区交流指导，谢谢。