117笔记问答在Ubuntu系统中,可以通过PAM(Pluggable Authentication Modules)来配置账户锁定策略。以下是触发账户锁定的步骤:
方法一:使用pam_tally2模块
-
安装
pam_tally2模块:sudo apt-get update sudo apt-get install libpam-modules
-
编辑PAM配置文件: 打开
/etc/pam.d/common-auth文件:sudo nano /etc/pam.d/common-auth
在文件中添加以下行:
auth required pam_tally2.so onerr=fail deny=5 unlock_time=300
这里的参数解释:
deny=5:允许连续失败登录尝试5次。unlock_time=300:账户锁定时间为300秒(5分钟)。
-
重启相关服务: 为了使更改生效,需要重启相关的服务。通常是
sshd服务:sudo systemctl restart sshd
方法二:使用pam_faillock模块
-
安装
libpam-modules包(如果尚未安装):sudo apt-get update sudo apt-get install libpam-modules
-
编辑PAM配置文件: 打开
/etc/pam.d/common-auth文件:sudo nano /etc/pam.d/common-auth
在文件中添加以下行:
auth [success=done default=ignore] pam_unix.so nullok_secure auth requisite pam_faillock.so preauth silent deny=5 unlock_time=300 auth required pam_faillock.so authfail deny=5 unlock_time=300
-
重启相关服务: 为了使更改生效,需要重启相关的服务。通常是
sshd服务:sudo systemctl restart sshd
验证账户锁定
你可以尝试使用错误的密码多次登录来验证账户锁定功能是否正常工作。例如:
ssh user@your_server_ip
连续输入错误的密码5次后,账户将被锁定,锁定时间为300秒。
解锁账户
如果账户被锁定,可以使用以下命令解锁:
sudo pam_faillock --user=username --reset
或者手动编辑/var/log/auth.log文件查看锁定记录,并根据需要采取相应措施。
通过以上步骤,你可以在Ubuntu系统中配置并触发账户锁定策略。