在企业服务器安全管理中,防止暴力破解和非法登录是至关重要的。RockyLinux作为RHEL的社区替代版本,继承了其强大的安全机制。本文将详细讲解如何通过配置PAM(Pluggable Authentication Modules)模块来实现RockyLinux账户锁定策略,即使你是Linux新手也能轻松上手。
什么是账户锁定策略?
账户锁定策略是指当用户在短时间内连续多次输入错误密码后,系统自动临时或永久锁定该账户,从而有效防止暴力破解攻击。这是提升Linux账户安全的重要手段之一。
准备工作
在开始之前,请确保你拥有以下条件:
一台已安装RockyLinux 8或9的服务器 具有sudo权限的用户账户 基本的命令行操作知识步骤一:安装pam_faillock模块
大多数RockyLinux系统默认已包含pam_faillock模块,但为确保万无一失,我们先检查并安装相关包:
sudo dnf install -y pam
步骤二:配置PAM账户锁定策略
我们需要编辑两个PAM配置文件:
/etc/pam.d/system-auth和
/etc/pam.d/password-auth。为了简化管理,RockyLinux通常使用符号链接使这两个文件指向同一个配置。
首先,备份原始配置文件:
sudo cp /etc/pam.d/system-auth /etc/pam.d/system-auth.baksudo cp /etc/pam.d/password-auth /etc/pam.d/password-auth.bak
接下来,使用文本编辑器(如nano或vim)编辑
/etc/pam.d/system-auth文件:
sudo nano /etc/pam.d/system-auth
在文件顶部添加以下两行(注意顺序很重要):
auth required pam_faillock.so preauth silent audit deny=5 unlock_time=900auth sufficient pam_unix.so try_first_passauth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900
然后,在
account部分添加以下行:
account required pam_faillock.so
参数说明:
deny=5:允许最多5次失败尝试
unlock_time=900:账户锁定900秒(15分钟)后自动解锁
audit:记录失败尝试到系统日志
silent:不向用户显示账户已被锁定的信息(提高安全性)
步骤三:同步password-auth配置
由于RockyLinux通常将
password-auth链接到
system-auth,你可以直接创建符号链接以确保一致性:
sudo ln -sf /etc/pam.d/system-auth /etc/pam.d/password-auth
步骤四:测试账户锁定功能
创建一个测试用户(不要用root测试!):
sudo useradd testusersudo passwd testuser
然后故意输错5次密码尝试登录:
su - testuser
第6次尝试时,你应该会看到“Authentication failure”或类似提示,表明账户已被锁定。
步骤五:查看和手动解锁账户
失败尝试记录存储在
/var/run/faillock/目录下。你可以查看某个用户的失败记录:
sudo faillock --user testuser
如果需要立即解锁账户,可以执行:
sudo faillock --user testuser --reset
高级配置建议
- 如果希望永久锁定账户(直到管理员手动解锁),可将
unlock_time设置为0
- 对于关键系统账户(如root),建议单独配置更严格的策略
- 定期检查
/var/log/secure日志,监控可疑登录行为
总结
通过以上步骤,你已经成功配置了RockyLinux安全配置中的账户锁定策略。这不仅能有效防御暴力破解攻击,还能提升整体系统的安全性。记住,良好的安全实践应结合PAM账户锁定、强密码策略和定期审计,才能构建真正安全的服务器环境。
提示:生产环境中实施前,请务必在测试环境充分验证配置效果。
