用户登录失败时进行计数和锁定

/etc/pam.d/sshd 增加： 

auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 even_deny_root root_unlock_time=300

• auth required: 这指示PAM系统在用户进行身份验证时要求执行此模块。如果验证失败，将拒绝用户访问。
• pam_tally2.so: 这是实际执行计数和锁定功能的PAM模块。
• onerr=fail: 这是一个选项，它指示在无法读取计数数据时将认证过程视为失败。
• deny=5: 这是一个选项，指示当用户登录失败尝试达到5次时，拒绝其访问。具体的尝试次数可以根据需要进行调整。
• unlock_time=300: 这是一个选项，指定在计数锁定用户之后，用户将被锁定的时间（以秒为单位）。在这个例子中，用户将被锁定300秒（即5分钟）。
• even_deny_root: 这是一个选项，它指示甚至对于root用户也执行锁定的操作。因为root用户具有特殊权限，所以这样的设置可以增加安全性。
• root_unlock_time=300: 这是一个选项，指定即使对于root用户，也要执行锁定的时间（以秒为单位）。在这个例子中，root用户将被锁定300秒（即5分钟）。

 

重启服务

service sshd restart