CentOS8配置密码策略：尝试密码N次失败后锁定帐号_centos8 faillock

1.配置

CentOS8系统淘汰了pam_tally2，替代者是faillock。

编辑/etc/pam.d/system-auth 和  /etc/pam.d/password-auth 

添加以下：

auth        required                         pam_faillock.so preauth silent audit deny=3 unlock_time=300
auth        sufficient                        pam_unix.so nullok try_first_pass
auth        [default=die]                  pam_faillock.so  authfail  audit  deny=3  unlock_time=300
account     required                      pam_faillock.so

保存文件。

编辑/etc/pam.d/sshd 和 /etc/pam.d/login

添加以下：

auth        required                         pam_faillock.so preauth silent audit deny=3 unlock_time=300

保存文件。

注意修改文件要特别小心，修改完毕后，不要退出ssh登录。请另外开启ssh客户端测试连接，测试成功后再退出。我在修改过程中因为不慎，注释了其中一行，导致ssh无法登陆。vnc模式也不行。不得不进行系统还原。

2.锁定帐号的处理

查看帐号状态命令： faillock --user 帐户名

查询结果如下：

 解锁帐号命令：  faillock   --user [帐户名]  --reset   或   faillock --reset 

注：没有附加帐户名参数代表解锁所有被锁帐户