在Ubuntu系统中,可以通过配置PAM(Pluggable Authentication Modules)来触发账户锁定机制,以增强系统的登录安全性。以下是几种常见的方法:
pam_tally2 模块pam_tally2 模块用于记录和限制用户登录尝试的次数,在多次失败的登录尝试后自动锁定账户。
pam_tally2 模块sudo apt-get update
sudo apt-get install libpam-modules
pam_tally2打开 /etc/pam.d/common-auth 文件进行编辑:
sudo nano /etc/pam.d/common-auth
在文件中添加以下行:
auth required pam_tally2.so onerr=fail deny=5 unlock_time=300
参数说明:
deny=5:允许连续失败登录尝试5次。unlock_time=300:账户锁定时间为300秒(5分钟)。重启相关服务使更改生效,通常是 sshd 服务:
sudo systemctl restart sshd
pam_faillock 模块pam_faillock 模块提供了更高级的账户锁定策略,可以在认证失败时锁定账户,并支持不同的锁定场景。
libpam-modules 包sudo apt-get update
sudo apt-get install libpam-modules
pam_faillock打开 /etc/pam.d/common-auth 文件进行编辑:
sudo nano /etc/pam.d/common-auth
在文件中添加以下行:
auth [success=done default=ignore] pam_unix.so nullok_secure
auth requisite pam_faillock.so preauth silent deny=3 unlock_time=300
auth required pam_faillock.so authfail deny=3 unlock_time=300
参数说明:
deny=3:允许连续失败登录尝试3次。unlock_time=300:账户锁定时间为300秒(5分钟)。重启相关服务使更改生效,通常是 sshd 服务:
sudo systemctl restart sshd
如果账户被锁定,可以使用以下命令解锁:
使用 pam_tally2 命令解锁用户:
sudo pam_tally2 --user <用户名> --reset
使用 faillock 命令解锁用户:
sudo faillock --user <用户名> --reset
通过以上步骤,你可以在Ubuntu系统中配置并触发账户锁定策略,从而增强系统的安全性。