Welcome to LHIDC !

购物车 我的帐户

如何使用pam_faillock保护SSH:锁定失败的登录尝试

HKLHIDC 技术指南 发布于:2024年10月20日

pam_tally2模块曾经用于在一定次数的 SSH 登录尝试失败后锁定用户帐户,但由于具有更多的灵活性和安全性选项,该模块已pam_faillock被基于 RHEL 的发行版和其他现代 Linux 发行版弃用并被其取代。

以前,该pam_tally2模块负责计算登录失败次数并锁定账户。但是,作为安全性改进的一部分,pam_faillock通过提供更好的集成和更多的配置选项,该模块已成为新版 Linux 中管理登录失败次数的标准。

从 pam_tally2 过渡到 pam_faillock

虽然它pam_tally2由两部分组成 -pam_tally2.so和pam_tally2命令 – 但已被逐步淘汰,取而代之的是pam_faillock,旨在以更安全、更灵活的方式处理登录尝试。

pam_faillock提供类似的功能,但有所改进,例如:

增强了失败尝试的记录和报告。

更好地处理帐户锁定策略。

支持配置登录尝试失败次数的限制以及超时后的自动帐户解锁。

本文演示了如何使用pam_faillock模块配置在一定次数的登录尝试失败后 SSH 帐户锁定。

如何使用 pam_faillock 锁定和解锁用户帐户

根据您的系统和您正在配置的服务,打开两个 PAM 配置文件/etc/pam.d/password-auth和。/etc/pam.d/sshd

sudo vi /etc/pam.d/password-auth
sudo vi /etc/pam.d/sshd

将以下行添加到该部分的开头auth以配置失败登录尝试策略:

auth        required      pam_faillock.so preauth silent audit deny=3 even_deny_root unlock_time=1200
auth        [default=die] pam_faillock.so authfail audit deny=3 even_deny_root unlock_time=1200

将以下行添加到该account部分以启用登录失败的帐户管理:

account     required      pam_faillock.so

参数解释:

deny=3:3 次尝试失败后拒绝访问。

even_deny_root:将该策略也应用于 root 用户。

unlock_time=1200:20 分钟(1200 秒)后自动解锁帐户。如果您希望帐户保持锁定状态直到手动重置,请删除此选项。

audit:将失败的登录尝试记录到系统审计日志中。

现在打开/etc/security/faillock.conf文件并指定多少次失败尝试将触发锁定以及锁定期限的持续时间。

# Number of allowed failures before lockout
deny = 5

# Lockout duration in minutes
unlock_time = 15

# Path to the faillock database
# Optional: You can specify where to store faillock information
# faillock_path = /var/lib/faillock

接下来,打开/etc/ssh/sshd_config文件并启用以下设置以使用 PAM 进行 SSH 身份验证。

UsePAM yes

要应用更改,请重新启动 SSH 服务:

sudo systemctl restart sshd

如何测试 SSH 帐户锁定功能

保存上述配置后,您可以通过对 SSH 服务器进行 3 次失败的登录尝试来测试登录锁定机制。

ssh user@192.168.0.10

user@192.168.0.10's password:
Permission denied, please try again.
user@192.168.0.10's password:
Permission denied, please try again.
user@192.168.0.10's password:
Account locked due to 3 failed logins

如何检查用户 SSH 登录失败

要检查特定用户的失败登录尝试,请使用以下命令:

sudo faillock --user username

示例输出:

Login           Failures  Latest failure     From
user                3     10/17/2024 14:15   192.168.0.5

如何重置或解锁用户帐户

要重置失败的尝试并解锁用户帐户,请使用以下命令:

sudo faillock --user username --reset

此命令清除失败尝试次数并解锁用户。

验证用户账户是否已解锁

您可以通过再次运行 faillock 命令来确认帐户是否已解锁:

sudo faillock --user username

如果没有失败的登录尝试,则输出将为空,表明用户帐户已解锁。

总之,该pam_faillock模块提供了一种改进的、更安全的方式来管理失败的登录尝试,取代了现在已弃用的pam_tally2。请确保更新您的 PAM 配置文件以pam_faillock保持与最佳实践和安全标准同步。

pam_faillock欲了解更多信息,您可以使用命令行中的man 。

man pam_faillock

 

即刻开始数字化旅程

立即注册您的独立服务器,在全球托管您的应用程序或在线业务

注册下单

Copyright © 2025 LHIDC. All Rights Reserved.