我检查了 /etc/pam.d/system-auth 和 /etc/pam.d/password-auth 中的 pam 配置,发现了以下行‘需要身份验证 pam_faillock.so’。
在我读过的一些文章中,如果你想设置故障锁定,你需要行'帐户需要 pam_faillock.so' 代替‘需要身份验证 pam_faillock.so’。
如果行'帐户需要 pam_faillock.so' 未设置 ??。Pam 配置(/etc/pam.d/password-auth 和 /etc/pam.d/system-auth)使用 '身份验证需要 pam_faillock.so' 代替 '帐户需要 pam_faillock.so',如下配置:
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authselect is run.
auth required pam_env.so
auth required pam_faillock.so preauth silent
auth sufficient pam_unix.so try_first_pass nullok
auth required pam_faillock.so authfail
auth required pam_deny.so
auth required pam_faillock.so
account required pam_unix.so
password requisite pam_pwquality.so local_users_only enforce_for_root retry=3
password requisite pam_pwhistory.so enforce_for_root retry=3 remember=5
password sufficient pam_unix.so sha512 shadow try_first_pass use_authtok remember=5
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
这发生在我公司的几台服务器上。
我已经使用 PAM 配置测试了一些故意的登录失败'帐户需要 pam_faillock.so' 或使用 PAM 配置 '身份验证需要 pam_faillock.so' 在 /etc/pam.d/password-auth 和 /etc/pam.d/system-auth 中,但是当我测试故意登录失败时,我没有发现任何不同的结果。
我测试过的用户在登录失败时仍会被锁定几分钟。