Linux用户登录次数限制

主要为了防止暴力破解用户密码

1.修改PAM配置

限制终端方式登录：
vim vim /etc/pam.d/login
#%PAM-1.0
#添加如下一行
auth required pam_tally2.so deny=3 unlock_time=100 even_deny_root root_unlock_time=300
deny： 设置普通用户和root用户连续错误登陆的最大次数，超过最大次数，则锁定该用户
unlock_time： 设定普通用户锁定后，多少时间后解锁，单位是秒
root_unlock_time： 设定root用户锁定后，多少时间后解锁，单位是秒


限制ssh方式登录：
vim /etc/pam.d/sshd
#%PAM-1.0
#添加如下一行
auth required pam_tally2.so deny=3 unlock_time=100 even_deny_root root_unlock_time=300
注：
由于openssh版本区别，有些版本在/etc/pam.d/sshd添加是不生效的，需要修改ssh配置文件开启PAM模块
vim /etc/ssh/sshd_config
#修改并取消注释
UsePAM yes
重启服务
systemctl restart sshd.service
vim /etc/pam.d/sshd
#%PAM-1.0
#添加如下两行
auth required pam_tally2.so deny=3 unlock_time=100 even_deny_root root_unlock_time=300
#登录成功后重置次数
account required pam_tally2.so


2.PAM命令扩展

查看用户登录失败的次数:
pam_tally2 -u user
解锁aihuidi用户
pam_tally2 -r -u user