限制用户登录尝试(Ubuntu12.10，pam_tally.so，pam_tally2.so)

Question

首先，我是一个相对的Linux新手，所以请容忍我。

我在网上发现的关于限制登录尝试的很多建议都不涉及到Quantal。所有这些都指定使用pam_tally.so或pam_tally2.so，这似乎是用于用户身份验证的基本的Linux机制。不幸的是，似乎还有各种发行版(RHEL、Ubuntu、Cent等)。对配置需求有轻微的变化。

在12.10中，启用pam_tally.so之后，我遇到的主要问题与不正确的计数递增有关：

• 每次登录失败时增加2次
• 在用户失败时增加所有其他用户。
• 当用户切换帐户时，会增加所有其他内容。

以及这种行为的其他变体。但是，它会根据需要锁定超出限制的帐户，并在成功登录后将计数器重置为0。

pam_tally2.so消除了一些错误，例如在其他用户失败时递增所有其他用户，但每次失败时仍会增加用户2次。

下面是我的/etc/pam.d/common-auth的样子：

auth    required                    pam_tally2.so  file=/var/log/tallylog deny=3
auth    [success=1 default=ignore]  pam_unix.so
account required            pam_tally2.so
auth    requisite           pam_deny.so
auth    required            pam_permit.so
auth    optional            pam_cap.so 

如果我复制了pam_tally2.so手册上的说明，我就被锁在机器之外，必须通过根用户从LiveCD引导中撤消更改。

我的问题是：

1. pam_tally.so现在完全反对pam_tally2.so了吗？
2. 有没有人有一个共同的工作文件，他们可以张贴，它的工作完全按照广告，12.10？任何其他建议也是受欢迎的。
3. 13.04是否使用与pam_tally不同的机制来管理登录计数和锁定？

如果13.04确实正确地限制登录，并且比12.10更少麻烦，我可能会迁移到它，因为限制登录尝试是这台机器的必要特性。如果在Ubuntu的某些版本中无法限制登录尝试，我可能不得不使用另一个发行版，比如CentOS。

Answer 1

这是来自pam_tally“手册”页面。

pam_tally有几个局限性，可以用pam_tally2来解决。因此，不推荐使用pam_tally，并将在以后的版本中删除它。

您可以通过将以下内容输入终端来查看它(以及任何其他以这种格式显示的命令)：

man pam_tally

您打算在键盘和/或网络(ssh)上实现锁定吗？我没有给你举一个例子，但下面你可能会“找到你想要的答案”。首先，您需要通过从终端输入以下内容来编辑您提到的文件：

sudo gedit /etc/pam.d/common-auth

将其添加到文件的顶部(规则的顺序重要)：

auth required pam_tally.so per_user magic_root onerr=fail

这将设置允许的尝试次数。

sudo faillog -m 3

-l选项设置锁定时间。

faillog -m 3 -l 3600

解锁帐户

faillog -u login_name -r

学分：http://blog.bodhizazen.com/linux/ubuntu-how-to-faillog/

祝你好运，我希望你做出明智的选择，留在Ubuntu。