RockyLinux账户锁定策略详解（手把手教你配置PAM实现账户安全防护）

什么是账户锁定策略？

账户锁定策略是指当用户在短时间内连续多次输入错误密码后，系统自动临时或永久锁定该账户，从而有效防止暴力破解攻击。这是提升Linux账户安全的重要手段之一。

准备工作

在开始之前，请确保你拥有以下条件：

• 一台已安装RockyLinux 8或9的服务器
• 具有sudo权限的用户账户
• 基本的命令行操作知识

步骤一：安装pam_faillock模块

大多数RockyLinux系统默认已包含pam_faillock模块，但为确保万无一失，我们先检查并安装相关包：

sudo dnf install -y pam

步骤二：配置PAM账户锁定策略

我们需要编辑两个PAM配置文件：/etc/pam.d/system-auth 和 /etc/pam.d/password-auth。为了简化管理，RockyLinux通常使用符号链接使这两个文件指向同一个配置。

首先，备份原始配置文件：

sudo cp /etc/pam.d/system-auth /etc/pam.d/system-auth.baksudo cp /etc/pam.d/password-auth /etc/pam.d/password-auth.bak

接下来，使用文本编辑器（如nano或vim）编辑/etc/pam.d/system-auth文件：

sudo nano /etc/pam.d/system-auth

在文件顶部添加以下两行（注意顺序很重要）：

auth        required      pam_faillock.so preauth silent audit deny=5 unlock_time=900auth        sufficient    pam_unix.so try_first_passauth        [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900

然后，在account部分添加以下行：

account     required      pam_faillock.so

参数说明：

• deny=5：允许最多5次失败尝试
• unlock_time=900：账户锁定900秒（15分钟）后自动解锁
• audit：记录失败尝试到系统日志
• silent：不向用户显示账户已被锁定的信息（提高安全性）

步骤三：同步password-auth配置

由于RockyLinux通常将password-auth链接到system-auth，你可以直接创建符号链接以确保一致性：

sudo ln -sf /etc/pam.d/system-auth /etc/pam.d/password-auth

步骤四：测试账户锁定功能

创建一个测试用户（不要用root测试！）：

sudo useradd testusersudo passwd testuser

然后故意输错5次密码尝试登录：

su - testuser

第6次尝试时，你应该会看到“Authentication failure”或类似提示，表明账户已被锁定。

步骤五：查看和手动解锁账户

失败尝试记录存储在/var/run/faillock/目录下。你可以查看某个用户的失败记录：

sudo faillock --user testuser

如果需要立即解锁账户，可以执行：

sudo faillock --user testuser --reset

高级配置建议

- 如果希望永久锁定账户（直到管理员手动解锁），可将unlock_time设置为0
- 对于关键系统账户（如root），建议单独配置更严格的策略
- 定期检查/var/log/secure日志，监控可疑登录行为

总结

通过以上步骤，你已经成功配置了RockyLinux安全配置中的账户锁定策略。这不仅能有效防御暴力破解攻击，还能提升整体系统的安全性。记住，良好的安全实践应结合PAM账户锁定、强密码策略和定期审计，才能构建真正安全的服务器环境。

提示：生产环境中实施前，请务必在测试环境充分验证配置效果。