在使用 RockyLinux 或其他基于 RHEL 的 Linux 发行版时,保障系统安全是每位管理员的重要任务。其中,监控用户登录行为,尤其是失败登录尝试,能有效帮助我们发现潜在的暴力破解或未授权访问行为。
本文将手把手教你使用 faillog 命令来查看、管理和分析 RockyLinux 中的失败登录记录。无论你是 Linux 新手还是有一定经验的用户,都能轻松掌握!
什么是 faillog?
faillog 是 Linux 系统中一个用于显示和管理用户失败登录尝试记录的命令行工具。它读取并操作 /var/log/faillog
文件(这是一个二进制文件),该文件由 PAM(Pluggable Authentication Modules)模块在用户登录失败时自动更新。
通过
faillog,你可以: 查看所有用户的失败登录次数 查看特定用户的失败登录详情 重置某用户的失败登录计数 设置最大失败登录次数以启用账户锁定(需配合 PAM 配置)
前提条件
确保你的 RockyLinux 系统已启用 PAM 的
pam_tally2.so或
pam_faillock.so模块(现代 RockyLinux 默认使用
pam_faillock)。不过即使未配置账户锁定,
faillog通常仍能记录失败尝试(取决于具体 PAM 配置)。
你还需要拥有 root 权限 才能查看完整的失败日志信息。
基本用法:查看失败登录记录
1. 查看所有用户的失败登录情况
以 root 用户身份执行以下命令:
输出示例: 各列含义: 例如,只查看用户 当用户因多次输错密码被“标记”后,即使之后登录成功,失败次数仍会保留。为避免误判,可手动重置计数。 重置用户 重置所有用户的失败计数(谨慎使用): 通过本文,你已经掌握了在 RockyLinux 中使用 记住关键词:RockyLinux faillog、Linux失败登录查看、faillog命令教程 和 RockyLinux安全日志,它们将帮助你在未来快速检索相关知识。 建议将 faillogUsername Failures Maximum Latest Onroot 3 0 Sat Jun 15 10:23:45 +0800 2024 tty1alice 1 0 Fri Jun 14 18:05:12 +0800 2024 ssh:nottybob 0 02. 查看特定用户的失败记录
alice
的失败登录信息:faillog -u alice3. 显示所有有失败记录的用户(过滤掉0次的)
faillog -a重置失败登录计数
alice
的失败次数:faillog -u alice -rfaillog -r注意事项与常见问题
如果运行 faillog
后没有任何输出,可能是 PAM 未配置记录失败登录,或者从未发生过失败尝试。 在较新的 RockyLinux 版本中,/var/log/faillog
可能默认不存在,首次失败登录后才会创建。 要实现“失败 N 次后锁定账户”,需额外配置 PAM(如使用 pam_faillock
),仅靠 faillog
无法自动锁定账户。总结
faillog
命令查看和管理失败登录记录的方法。定期检查这些日志是提升系统安全的重要一环,有助于及时发现异常登录行为。faillog -a
加入日常巡检脚本,让安全防护更主动!
