CentOS账户锁定策略（防止暴力破解，提升系统安全）

什么是账户锁定策略？

账户锁定策略是指：当某个用户在一定时间内连续输入错误密码达到设定次数后，系统会自动暂时或永久锁定该账户，阻止进一步的登录尝试。这能有效防御自动化工具发起的暴力破解攻击。

CentOS中实现账户锁定的核心：pam_faillock

从CentOS 7开始，系统默认使用 pam_faillock 模块来管理失败登录尝试和账户锁定。该模块记录失败登录次数，并根据配置决定是否锁定账户。

配置步骤详解

第1步：备份原有PAM配置

在修改任何系统安全配置前，请务必先备份！执行以下命令：

sudo cp /etc/pam.d/system-auth /etc/pam.d/system-auth.baksudo cp /etc/pam.d/password-auth /etc/pam.d/password-auth.bak  

第2步：编辑PAM配置文件

我们需要同时修改两个文件：/etc/pam.d/system-auth 和 /etc/pam.d/password-auth。这两个文件在CentOS中通常互相包含，但为保险起见建议都修改。

使用你喜欢的编辑器（如 vi 或 nano）打开 /etc/pam.d/system-auth：

sudo vi /etc/pam.d/system-auth  

第3步：添加pam_faillock规则

在文件开头找到 auth 部分，在适当位置插入以下三行（注意顺序很重要）：

# 在 auth required pam_env.so 之后添加auth        required      pam_faillock.so preauth silent audit deny=5 unlock_time=900auth        sufficient    pam_unix.so try_first_passauth        [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900  

说明：

• deny=5：允许最多5次失败登录尝试。
• unlock_time=900：锁定时间为900秒（15分钟）。设为0表示永久锁定（不推荐）。
• audit：将失败记录写入系统日志（/var/log/secure）。
• preauth 和 authfail：分别用于预检查和失败处理。

接着，在 account 部分末尾添加一行：

account     required      pam_faillock.so  

第4步：同步修改password-auth文件

重复第2、3步，对 /etc/pam.d/password-auth 做完全相同的修改。这是因为在某些服务（如SSH）中会调用此文件。

第5步：测试配置

创建一个测试用户（不要用root！）：

sudo useradd testusersudo passwd testuser  

然后故意输错5次密码尝试登录，第6次应提示账户被锁定。15分钟后自动解锁。

查看和手动解锁账户

失败登录记录存储在 /var/run/faillock/ 目录下，每个用户一个文件。

查看某用户失败次数：

sudo faillock --user testuser  

手动解锁账户：

sudo faillock --user testuser --reset  

安全建议

• 不要对 root 用户启用锁定策略，以免被恶意锁定导致系统无法管理。
• 结合 fail2ban 等工具可实现IP级封锁，提供更全面的Linux安全加固。
• 定期检查 /var/log/secure 日志，监控异常登录行为。

总结

通过合理配置 pam_faillock，你可以轻松在CentOS系统中实施有效的账户暴力破解防护机制。这不仅提升了服务器的安全性，也符合企业安全合规要求。记住，安全是一个持续的过程，定期审查和更新你的CentOS账户锁定策略是运维工作的关键一环。

关键词：CentOS账户锁定策略, Linux安全加固, pam_faillock配置, 账户暴力破解防护