Menu

目录

登录失败超过三次后锁定

说明

为了保障用户系统的安全,建议用户设置口令出错次数的阈值(建议3次),以及由于口令尝试被锁定用户的自动解锁时间(建议300秒)。

用户锁定期间,任何输入被判定为无效,锁定时间不因用户的再次输入而重新计时;解锁后,用户的错误输入记录被清空。通过上述设置可以有效防范口令被暴力破解,增强系统的安全性。

说明:
openEuler默认口令出错次数的阈值为3次,系统被锁定后自动解锁时间为60秒。

实现

口令复杂度的设置通过修改/etc/pam.d/password-auth和/etc/pam.d/system-auth文件实现,设置口令最大的出错次数3次,系统锁定后的解锁时间为300秒的配置如下:

auth        required      pam_faillock.so preauth audit deny=3 even_deny_root unlock_time=300
auth        [default=die] pam_faillock.so authfail audit deny=3 even_deny_root unlock_time=300
auth        sufficient    pam_faillock.so authsucc audit deny=3 even_deny_root unlock_time=300

表 1 pam_faillock.so配置项说明

配置项

说明

authfail

捕获用户登录失败的事件。

deny=3

用户连续登录失败次数超过3次即被锁定。

unlock_time=300

普通用户自动解锁时间为300秒(即5分钟)。

even_deny_root

同样限制root帐户。