RockyLinux faillog命令详解（如何查看和分析失败登录记录提升系统安全）

什么是 faillog？

faillog 是 Linux 系统中一个用于显示和管理用户失败登录尝试记录的命令行工具。它读取并操作 /var/log/faillog 文件（这是一个二进制文件），该文件由 PAM（Pluggable Authentication Modules）模块在用户登录失败时自动更新。

通过 faillog，你可以：

• 查看所有用户的失败登录次数
• 查看特定用户的失败登录详情
• 重置某用户的失败登录计数
• 设置最大失败登录次数以启用账户锁定（需配合 PAM 配置）

前提条件

确保你的 RockyLinux 系统已启用 PAM 的 pam_tally2.so 或 pam_faillock.so 模块（现代 RockyLinux 默认使用 pam_faillock）。不过即使未配置账户锁定，faillog 通常仍能记录失败尝试（取决于具体 PAM 配置）。

你还需要拥有 root 权限 才能查看完整的失败日志信息。

基本用法：查看失败登录记录

1. 查看所有用户的失败登录情况

以 root 用户身份执行以下命令：

faillog

输出示例：

Username        Failures Maximum Latest                   Onroot               3       0    Sat Jun 15 10:23:45 +0800 2024 tty1alice              1       0    Fri Jun 14 18:05:12 +0800 2024 ssh:nottybob                0       0

各列含义：

• Username：用户名
• Failures：累计失败登录次数
• Maximum：最大允许失败次数（0 表示无限制）
• Latest：最近一次失败登录的时间
• On：登录来源（如 tty1、ssh:notty 等）

2. 查看特定用户的失败记录

例如，只查看用户 alice 的失败登录信息：

faillog -u alice

3. 显示所有有失败记录的用户（过滤掉0次的）

faillog -a

重置失败登录计数

当用户因多次输错密码被“标记”后，即使之后登录成功，失败次数仍会保留。为避免误判，可手动重置计数。

重置用户 alice 的失败次数：

faillog -u alice -r

重置所有用户的失败计数（谨慎使用）：

faillog -r

注意事项与常见问题

• 如果运行 faillog 后没有任何输出，可能是 PAM 未配置记录失败登录，或者从未发生过失败尝试。
• 在较新的 RockyLinux 版本中，/var/log/faillog 可能默认不存在，首次失败登录后才会创建。
• 要实现“失败 N 次后锁定账户”，需额外配置 PAM（如使用 pam_faillock），仅靠 faillog 无法自动锁定账户。

总结

通过本文，你已经掌握了在 RockyLinux 中使用 faillog 命令查看和管理失败登录记录的方法。定期检查这些日志是提升系统安全的重要一环，有助于及时发现异常登录行为。

记住关键词：RockyLinux faillog、Linux失败登录查看、faillog命令教程 和 RockyLinux安全日志，它们将帮助你在未来快速检索相关知识。

建议将 faillog -a 加入日常巡检脚本，让安全防护更主动！