要在预设次数的失败登录尝试后阻止用户,可以使用类似pam_tally2或 的模块pam_faillock。
这两者有什么区别?我什么时候应该使用哪一个?
答案1
由于 Linux-PAM 1.4.0(2020 年 6 月 8 日)pam_tally 和 pam_tally2 已弃用并引入了 pam_faillock,版本 1.5.0(2020 年 11 月 10 日)删除了 pam_tally 和 pam_tally2
如果您的发行版提供 pam_faillock,请使用该版本,如果没有,请使用 pam_tally2
答案2
看来这pam_faillock是更进化的版本,至少2016年是这样,当时作者说:
评论(tmraz):
几年前我已经提交了 pam_faillock 。我同意你的观点,它应该包含在 Linux PAM 中,而且我真的不喜欢将代码与 pam_tally[2] 合并,因为内部设计非常不同。我宁愿完全废弃 pam_tally 和 pam_tally2,因为它们的设计有缺陷。
来源:https://lists.fedorahosted.org/archives/list/[电子邮件受保护]/线程/QIYGRKVWDHZUBQHOXZT67YJMCOEBDMHK/
差异之一是pam_faillock改进了屏幕保护程序的处理。