登录失败超过三次后锁定

说明

为了保障用户系统的安全，建议用户设置口令出错次数的阈值（建议3次），以及由于口令尝试被锁定用户的自动解锁时间（建议300秒）。

用户锁定期间，任何输入被判定为无效，锁定时间不因用户的再次输入而重新计时；解锁后，用户的错误输入记录被清空。通过上述设置可以有效防范口令被暴力破解，增强系统的安全性。

说明：
openEuler默认口令出错次数的阈值为3次，系统被锁定后自动解锁时间为60秒。

实现

口令复杂度的设置通过修改/etc/pam.d/password-auth和/etc/pam.d/system-auth文件实现，设置口令最大的出错次数3次，系统锁定后的解锁时间为300秒的配置如下：

auth        required      pam_faillock.so preauth audit deny=3 even_deny_root unlock_time=300
auth        [default=die] pam_faillock.so authfail audit deny=3 even_deny_root unlock_time=300
auth        sufficient    pam_faillock.so authsucc audit deny=3 even_deny_root unlock_time=300

表 1 pam_faillock.so配置项说明

配置项	说明
authfail	捕获用户登录失败的事件。
deny=3	用户连续登录失败次数超过3次即被锁定。
unlock_time=300	普通用户自动解锁时间为300秒（即5分钟）。
even_deny_root	同样限制root帐户。