处理办法
pam_tally2 模块可用于账户策略控制。要解决此问题,请进行如下配置检查:
通过 SSH 客户端或 管理终端 登录服务器。
通过 cat 等指令查看异常登录模式,对应的 PAM 配置文件。说明如下:
文件 功能说明
/etc/pam.d/login 控制台(管理终端)对应配置文件
/etc/pam.d/sshd 登录对应配置文件
/etc/pam.d/system-auth 系统全局配置文件
注:每个启用了 PAM 的应用程序,在 /etc/pam.d 目录中都有对应的同名配置文件。例如,login 命令的配置文件是 /etc/pam.d/login,可以在相应配置文件中配置具体的策略。
检查前述配置文件中,是否有类似如下配置信息:
auth requeired pam_tally2.so deny=5 lock_time=30 unlock_time=10 even_deny_root root_unlock_time=10
相关参数简要说明:
deny=5 表示连续 5 次错误输入密码,则账户会被锁定。
lock_time=30 表示锁定 30 秒。
unlock_time=10 表示账户被锁后,10秒后自动解锁。
even_deny_root 表示 root 用户在认证出错时,同样也会被锁定。
注意: 该策略启用后,一旦用户被锁定,只能等待解锁,或者使用单用户模式重新引导系统尝试解锁用户。
root_unlock_time=10 表示如果是 root 用户被锁定,则锁定 10 秒。
相关策略可以提高服务器的安全性。请用户基于安全性和易用性权衡后,再确定是否需要修改相关配置。
可以使用如下指令解锁被锁定的非root用户(alicloud是待解锁用户名):
pam_tally2 --user alicloud --reset
如果需要修改相关策略配置,在继续之前建议进行文件备份。
使用 vi 等编辑器,按需修改相关参数值,或者整个删除或注释(在最开头添加 # 号)整行配置。比如:
auth requeired pam_tally2.so deny=5 lock_time=30 even_deny_root root_unlock_time=10
尝试重新登录服务器。
处理办法
pam_tally2 模块可用于账户策略控制。要解决此问题,请进行如下配置检查:
通过 SSH 客户端或 管理终端 登录服务器。
通过 cat 等指令查看异常登录模式,对应的 PAM 配置文件。说明如下:
文件 功能说明
/etc/pam.d/login 控制台(管理终端)对应配置文件
/etc/pam.d/sshd 登录对应配置文件
/etc/pam.d/system-auth 系统全局配置文件
注:每个启用了 PAM 的应用程序,在 /etc/pam.d 目录中都有对应的同名配置文件。例如,login 命令的配置文件是 /etc/pam.d/login,可以在相应配置文件中配置具体的策略。
检查前述配置文件中,是否有类似如下配置信息:
auth requeired pam_tally2.so deny=5 lock_time=30 unlock_time=10 even_deny_root root_unlock_time=10
相关参数简要说明:
deny=5 表示连续 5 次错误输入密码,则账户会被锁定。
lock_time=30 表示锁定 30 秒。
unlock_time=10 表示账户被锁后,10秒后自动解锁。
even_deny_root 表示 root 用户在认证出错时,同样也会被锁定。
注意: 该策略启用后,一旦用户被锁定,只能等待解锁,或者使用单用户模式重新引导系统尝试解锁用户。
root_unlock_time=10 表示如果是 root 用户被锁定,则锁定 10 秒。
相关策略可以提高服务器的安全性。请用户基于安全性和易用性权衡后,再确定是否需要修改相关配置。
可以使用如下指令解锁被锁定的非root用户(alicloud是待解锁用户名):
pam_tally2 --user alicloud --reset
如果需要修改相关策略配置,在继续之前建议进行文件备份。
使用 vi 等编辑器,按需修改相关参数值,或者整个删除或注释(在最开头添加 # 号)整行配置。比如:
auth requeired pam_tally2.so deny=5 lock_time=30 even_deny_root root_unlock_time=10
尝试重新登录服务器。