pam_faillock 是 linux 系統(tǒng)中用于賬戶鎖定策略的 pam 模塊,其作用是在用戶連續(xù)輸入錯誤密碼達到設定次數(shù)后自動鎖定賬戶,防止暴力破解。它通過記錄登錄失敗次數(shù)(deny=n)、設定鎖定時間(unlock_time=秒數(shù))及失敗間隔(fail_interval=秒數(shù))等參數(shù)實現(xiàn)控制邏輯。啟用時需編輯如 /etc/pam.d/system-auth 或 /etc/pam.d/sshd 文件,添加包含 preauth、authfail 和 authsucc 的配置項,并注意不同發(fā)行版配置結(jié)構(gòu)可能不同。查看和重置失敗計數(shù)可使用 faillog -a、faillog -u username 及 faillog -r -u username 命令,passwd -u username 在某些情況下無法清除鎖定狀態(tài)。此外,ssh 與本地登錄配置可能分離,日志審計和測試驗證同樣重要,且應結(jié)合其他安全措施共同防護系統(tǒng)安全。
linux系統(tǒng)中,用戶登錄失敗的處理機制是安全防護的重要一環(huán)。pam_faillock模塊就是用來實現(xiàn)賬戶鎖定策略的關(guān)鍵組件之一。它可以在用戶連續(xù)輸入錯誤密碼后自動鎖定賬號,防止暴力破解。
什么是 pam_faillock 模塊?
pam_faillock.so 是 PAM(Pluggable Authentication Modules)的一部分,用于記錄用戶的登錄失敗次數(shù),并在達到設定閾值時阻止進一步的登錄嘗試。
它的基本邏輯是:
- 用戶登錄失敗 → 記錄失敗次數(shù)
- 達到預設失敗次數(shù) → 鎖定賬戶
- 成功登錄 → 清空失敗計數(shù)
這個模塊通常與 /etc/pam.d/sshd 或 /etc/pam.d/system-auth 等配置文件配合使用。
如何啟用 pam_faillock 模塊?
要在系統(tǒng)中啟用 pam_faillock,需要編輯對應的 PAM 配置文件。常見的位置包括:
- /etc/pam.d/login
- /etc/pam.d/sshd
- /etc/pam.d/system-auth
以 centos/RHEL 系統(tǒng)為例,在 /etc/pam.d/system-auth 文件中添加或修改如下行:
auth required pam_faillock.so preauth auth [default=die] pam_faillock.so authfail auth sufficient pam_faillock.so authsucc
這些配置項的作用分別是:
- preauth:在認證前檢查是否已被鎖定
- authfail:認證失敗時記錄一次失敗
- authsucc:認證成功時清除失敗記錄
注意:不同發(fā)行版的PAM配置結(jié)構(gòu)略有差異,建議先備份原文件再修改。
常見參數(shù)設置及說明
你可以在 PAM 配置中為 pam_faillock.so 添加一些參數(shù)來定制行為。常用參數(shù)如下:
- deny=N:允許的最大失敗次數(shù),默認為5
- unlock_time=秒數(shù):賬戶鎖定后自動解鎖的時間(單位為秒)
- fail_interval=秒數(shù):兩次失敗之間的時間間隔,超過該時間則重新計數(shù)
- authfail 和 authsucc:用于判斷是否記錄失敗或成功
例如:
auth required pam_faillock.so preauth deny=3 unlock_time=600
上面這行表示最多允許3次失敗,鎖定10分鐘(600秒)后自動解鎖。
如何查看和重置失敗計數(shù)?
當用戶被鎖定后,可以使用 faillog 命令查看和管理失敗記錄:
- 查看所有用戶的失敗記錄:
faillog -a
- 查看特定用戶的失敗記錄:
faillog -u username
- 重置某個用戶的失敗計數(shù):
faillog -r -u username
也可以使用 passwd 命令手動解鎖用戶:
passwd -u username
但要注意的是,某些情況下 pam_faillock 的鎖定狀態(tài)不會隨 passwd -u 自動清除,仍需使用 faillog 才能完全解除。
小貼士:幾個容易忽略的點
- SSH 登錄和本地登錄可能分開配置:比如 /etc/pam.d/sshd 和 /etc/pam.d/login 分別控制遠程和本地登錄的失敗處理。
- 日志記錄很重要:建議開啟審計功能(如 auditd)或查看 /var/log/secure 來追蹤登錄失敗事件。
- 測試環(huán)境優(yōu)先:修改 PAM 配置有風險,最好先在非生產(chǎn)環(huán)境中驗證效果。
- 不要過度依賴 faillock:它只是防線之一,結(jié)合 SSH 密鑰登錄、防火墻限制等手段更安全。
基本上就這些。合理配置 pam_faillock 可以有效增強系統(tǒng)的安全性,雖然不復雜,但細節(jié)容易出錯,操作前記得確認當前配置并做好備份。
