PAM是一個用于實現(xiàn)身份驗證的模塊化系統(tǒng)，可以在操作系統(tǒng)中的不同服務和應用程序中使用。

pam_faillock模塊

pam_faillock模塊用來實現(xiàn)賬號鎖定功能，它可以在一定的認證失敗次數(shù)后鎖定用戶賬號，防止暴力破解密碼攻擊。

常見選項

• deny：指定鎖定賬號的失敗次數(shù)閾值。默認為3次。
• unlock_time：指定鎖定時間，即賬號被鎖定后的恢復時間。默認為600秒（10分鐘）。
• fail_interval：指定兩個認證失敗事件之間的最小間隔時間。默認為900秒（15分鐘）。在此間隔時間內(nèi)，認證失敗次數(shù)不會被計數(shù)。
• fail_delay：指定認證失敗后的延遲時間。默認為1秒。

通過在PAM配置文件中添加類似以下行來配置pam_faillock模塊：

auth        required      pam_faillock.so preauth
auth        required      pam_faillock.so authfail
account     required      pam_faillock.so

注意，以上配置行的位置順序很重要，因為它們定義了模塊的調用順序。這些配置行應根據(jù)需要的策略和要求進行調整。

PAM登錄失敗賬號鎖定-案例

下面配置PAM安全策略，在身份驗證過程中，如果連續(xù)失敗五次，則鎖定用戶賬戶。

auth required pam_faillock.so authfil deny=5 unlock_time=0

• authfil選項指定是否將認證失敗計數(shù)寫入faillock數(shù)據(jù)庫，默認為否。
• deny=5表示在連續(xù)5次認證失敗后將鎖定用戶賬號。
• unlock_time=0表示鎖定時間為0，即用戶必須聯(lián)系管理員解鎖賬號。

這個配置的作用是增強安全性，防止暴力破解登錄密碼的攻擊。當然，也可以根據(jù)需要進行修改，例如更改鎖定次數(shù)或鎖定時間。

audit選項

上面的配置不會記錄認證失敗事件到審計日志中，如果你想要記錄認證失敗事件，以便后續(xù)分析或審計目的，可以使用audit選項控制是否將認證失敗的事件記錄到系統(tǒng)審計日志中。

例如：在認證失敗5次后將鎖定用戶賬號，并將失敗事件記錄到系統(tǒng)的審計日志中

auth required pam_faillock.so authfil audit deny=5 unlock_time=0

如果不需要將認證失敗事件記錄到審計日志中，可以不使用audit參數(shù)或將其設置為audit_silent。這樣認證失敗事件將不會被記錄到審計日志中，只會執(zhí)行賬號鎖定操作。