ubuntu 配置登录失败次数限制

最新推荐文章于 2025-07-17 15:57:28 发布
原创 最新推荐文章于 2025-07-17 15:57:28 发布 · 1.2w 阅读 · 47 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#ubuntu #ssh #linux #系统安全
本文档详细介绍了如何在Ubuntu系统中配置本地登录和SSH远程登录的失败次数限制,以增强系统安全性。通过编辑`/etc/pam.d/login`和`/etc/pam.d/sshd`文件,添加`pam_tally2.so`模块来实现限制。配置包括错误次数、解锁时间以及是否对root用户生效,并提供了测试步骤来验证配置效果。

ubuntu 配置登录失败次数限制

本地登录配置

  1. 打开 /etc/pam.d/login
 [sudo] vim /etc/pam.d/login
  1. 在文档前面插入(如果还需要配置ssh远端登录限制,只配置common-auth即可)
auth required pam_tally2.so deny=3 unlock_time=60 even_deny_root root_unlock_time=60

  1. 参数解释
    - deny # 尝试次数
    - unlock_time # 被锁定后,多少秒(s)自动解锁
    - even_deny_root # 对root用户生效
    - root_unlock_time # root 用户被锁后,多少秒(s)自动解锁

  2. 注意点

    1. 可以单独只对普通用户或root用户做配置,选择相应的参数即可;
    2. 如果是ubuntu桌面版,在图像化登录界面中尝试输入对应的错误次数(这里3次)不会有效果;
    3. 为避免配置被其它引用配置覆盖,所以配置行写在首端;

ssh远程登录配置

  1. 编辑/etc/pam.d/pam.d/common-auth
[sudo] vim /etc/pam.d/common-auth
  1. 首端插入
auth required pam_tally2.so deny=3 unlock_time=60 even_deny_root root_unlock_time=60
  1. 重启ssh
/etc/init.d/ssh restart
  1. 注意点
    • ssh需重启

测试

本机ssh测试

  1. 打开"终端" 新建测试用户test(避免出问题,还可用其他用户登录),切换到test用户
  2. 通过ssh命令连接
ssh test@127.0.0.1
  1. 输入错误>=3次
  2. 在当前用户(非test)终端使用命令查看错误次数
[sudo] pam_tally2 --user[=test]

结论
1. 连续输入错误,再输入正确密码时,再配置项锁定时间内,输入正确密码也无法登录(提示密码错误);
2. 在图像化操作系统中,连续输入错误并触发配置机制, 退出操作系统到系统登录界面,会看到锁定提示;

不同机器测试

  1. 通过终端或ssh工具
  2. 与本机测试相同
    结论:
    1. 连续输入错误,终端和提示工具不会显示账号锁定提示;
linuxubuntu)用户连续N次输入错误密码进行登陆时自动锁定X分钟
01-11
1、编辑PAM的配置文件 sudo vim /etc/pam.d/login 在第二行添加 auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10 参数介绍 even_deny_root 也限制root用户; deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户; unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒; root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒; 此处使用的是 pam
防止暴力SSH登陆
qq_40907977的博客
12-01 314
措施一 vi /etc/hosts.deny 添加以下内容 内容太多,放到了码云上,随时更新 https://gitee.com/teamlet/hosts.deny 修改完毕,启动 service xinetd restart 提示 Failed to issue method call: Unit xinetd.service failed to load: No such file or 原因是缺少 xinetd ,安装xinetd yum list |grep xinetd yum i
问题记录——/etc/pam.d/common-auth 修改后无法登录服务器系统(SuSE 12 SP5)
weixin_47980221的博客
03-06 1410
背景: 为了响应公司三级等保问题的整改要求,我们需要对suse12 SP5系统的服务器进行登录失败处理功能的配置。具体方法是在/etc/pam.d/common-auth文件中添加相关参数策略,以便在用户连续登录失败一定次数后,账户能够自动锁定一段时间。 配置内容如下: auth required pam_tally2.so onerr=fail deny=5 unlock_time=300 e...
触发pam_tally2模块机制导致登录失败
IT民工金鱼哥,专注运维技术。
04-18 6930
在生产环境中,如果设置了pam_tally2模块限制,则需要了解好其限制的规则情况,也要知道触发规则出现不能登录时应该如何进行处置。本文以两天所遇到的情景而进行分析和讲述,希望对看到本文的小伙伴有所启示。
LinuxUbuntu登录账户时多次输错密码锁定账户策略
m0_51706315的博客
05-31 9106
一、编辑PAM的配置文件 vim /etc/pam.d/sshd(ssh远程登录) vim /etc/pam.d/login (终端窗口登录) 二、在第二行添加 只设置普通用户 auth required pam_tally2.so deny=3 unlock_time=5 设置普通用户和root用户 auth required pam_tally2.so deny=3 unlock_time=5 even_d...
Ubuntu学习笔记:配置账户密码使用期限
qq_53850321的博客
11-08 3577
Ubuntu学习笔记:配置账户密码使用期限 配置账户密码最短使用期限为 10天,最长使用期限为 90 天
ubuntu 配置用户登录失败尝试次数限制
weixin_43441262的博客
05-21 3356
通过修改pam配置来达到限制密码尝试次数
Ubuntu登陆不上】Ubuntu服务器多次登录不上,显示Access Denied解决办法
weixin_42098685的博客
10-14 2179
当超过了服务器同一个账户密码尝试次数限制后,可能不管密码正确与否都无法登录。这时候可以使用另一个可以登录的账户,或者请其他可以登录的人帮忙解决。这样你就可以根据需要调整登录尝试次数限制,或者取消该限制。,即允许 5 次登录尝试,用户已经尝试了 10 次。值设置得过大,因为这可能会增加被暴力破解的风险。如果你想永久性地调整登录尝试次数限制,可以编辑。如果不希望使用登录失败次数限制,你可以移除。的值,表示允许的失败尝试次数。,从而取消登录尝试次数限制。中,找到并删除或注释掉包含。
Ubuntu修改密码及密码复杂度策略设置方法
热门推荐
深耕网络安全领域,聚焦护网行动(HW)、渗透测试、等级保护(等保)、CTF 竞赛四大核心方向,提供技术干货、实战经验与行业洞察。
02-11 1万+
版本查看 cat /etc/issue cat /proc/version 内核查看 uname -a Ubuntu修改密码及密码复杂度策略设置方法 一、修改密码 1、修改普通用户密码 passwd 2、修改root用户密码 sudo passwd root 默认root用户被禁止登录,如果需要解除限制,修改配置即可 sudo vim /etc/ssh/sshd_config 将默认配置注释掉,添加一行新的配置,默认的配置为允许root登录,但是禁止root用密码登录 将默认配置注释掉,添加一行新
linuxubuntu)用户连续N次输入错误密码进行登陆时,自动锁定X分钟
Nicolas的博客
09-29 8195
1、编辑PAM的配置文件 sudo vim /etc/pam.d/login 在第二行添加 auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10 参数介绍 even_deny_root 也限制root用户; deny 设置普通用户和root用户连续错...
Linux限制ssh登录次数,防止暴力破解
wlq127的专栏
11-26 4686
Linux限制ssh登录次数,防止暴力破解 服务器有公网IP开启ssh,需要做防暴力破解,pam中有个模块可以帮助我们限定用户登录失败次数,达到指定阈值,锁定用户 一:ssh远程登录限制 在/etc/pam.d/sshd文件中添加配置 auth required pam_tally2.so deny=3 unlock_time=3600 even_deny_root root_unlock_time=3600 deny=3 表示尝试登录次数,超过3次后会执行后续动作,单位为...
linux5登录失败锁定账号策略,Linux配置账户登录失败锁定策略
weixin_39682944的博客
05-16 2981
简单介绍:设置连续输错5次口令,帐号锁定5分钟。 在进行此项安全加固工作前,请先检查PAM模块版本,搜索pam_tally2是否存在,如果pam_tally2存在,修改配置文件。【注意: 各系统配置不一,请根据当前系统进行适当配置,并仔细评估对系统的影响】 修复方案(仅供参考,请勿直接配置): centos 修改配置/etc/pam.d/password-auth(将配置添加到合适的位置): au...
Centos7(Ubuntu)密码登录失败锁定设置(亲测)
qq_40907977的博客
08-11 7601
在工作中为了防止恶意访问者暴力破解openssh口令。所我们需要设置登录系统失败锁定用户策略。 我的环境是Centos7 服务器1:192.168.239.142 服务器2:192.168.239.145 一、pam_tally2模块 编辑192.168.239.142的 /etc/pam.d/sshd 在第二行添加红框内容 # vi /etc/pam.d/sshd #%PAM-1.0 auth required pam_tally2.so onerr=fail deny=3 unlock_time=300
ubuntu 22.04 ssh 服务器安全配置
feng哥说AI
08-30 1162
使用防火墙(如 `iptables` 或 `ufw`)限制 SSH 的访问范围,仅允许可信任的 IP 地址连接到 SSH 服务。配置 `LoginGraceTime` 限制未认证用户在登录时的等待时间,设置较短的等待时间可以降低攻击成功率。防止直接使用 `root` 用户登录,强制用户以普通用户身份登录,然后使用 `sudo` 提升权限。通过 `AllowUsers` 或 `AllowGroups` 指定允许登录的用户或组。设置 `MaxAuthTries` 来限制失败的认证尝试次数,从而防止暴力攻击。
ubuntu 22.04 pam 模块设置用户登录失败锁定
最新发布
weixin_40548182的博客
07-17 716
加到如下行后加到最后一行修改一键设置脚本⚠️警告:不要在 ubuntu20.04 系统上执行如下脚本,否则所有登录方式都会被锁定,导致进不了系统。查看被锁定的用户解锁被锁定的用户。
ubuntu 22.04 配置用户密码输错N次锁定用户策略
cnzzs的博客
12-30 1468
Ubuntu 20.04 及之后的版本默认情况下并不包含登录失败三次后自动锁定账户的功能。 如果你想手动设置在Ubuntu 22.04上实现类似的机制,可以使用​​faillock​​​或​​pam_tally2​​​(ubuntu 22.04及以后的系统中被​​faillock​​取代)来配置PAM(Pluggable...
linux设置账户登陆失败次数锁定
qq_17576885的博客
12-28 1万+
说明 为防止遭受恶意暴力破解,设置账户登录尝试次数并进行锁定,有效保护账户的安全。 检查方法 1)在终端中输入命令: [test@localhost ~]$ more /etc/pam.d/common-auth 2)检查是否存在如下内容: auth required pam_faillock.so preauth autit deny=3 even_deny_root unlock_time=60 3)其中: deny=为登陆失败尝试次数 even_deny_root为root账户登录达到失败次数也会锁.
linux设备添加登录名和密码,使用USB设备进行Linux身份验证登录
weixin_34031238的博客
05-02 1341
本文介绍了一种方法,该方法如何使用USB存储设备作为身份验证令牌而不是传统密码登录Linux系统。这可以通过使用可插拔身份验证模块(PAM)和某种USB存储设备(例如带有SD卡的移动电话的USB memory 棒)来实现。该身份验证技术还可以进一步扩展到Two-Factor身份验证,其中可以将涉及USB令牌和one-time密码的两种身份验证方法合并在一起以产生更高的安全性。本文是使用Ubuntu...
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值