总结：整理不易，如果对你有帮助，可否点赞关注一下？

更多详细内容请参考：Linux运维实战总结

---

一、背景信息

在ubuntu 22.04中，pam_tally2模块已被弃用，取而代之的是pam_faillock模块。因此，建议使用pam_faillock来实现登录失败处理策略。

以下是如何配置 pam_faillock 模块以满足你的需求。

---

二、配置目标

deny=10: 用户连续登录失败达到 10 次后锁定账户。
onerr=fail: 如果模块出错，则拒绝登录。
even_deny_root: 即使是 root 用户也会被锁定。
unlock_time=5: 普通用户账户在锁定后 5 秒自动解锁。
root_unlock_time=5: root 用户账户在锁定后 5 秒自动解锁。

---

三、实现步骤

注意：修改配置文件一定要按照本文中的顺序添加配置，否则配置可能不生效。

3.1、配置pam启用faillock

1、编辑/etc/pam.d/common-auth配置文件

root@ecs-b59d-0320772:~# vim /etc/pam.d/common-auth
auth     [default=die]      pam_faillock.so authfail
auth     sufficient         pam_faillock.so authsucc

如下图所示：

---

2、编辑/etc/pam.d/common-account配置文件

root@ecs-b59d-0320772:~# vim /etc/pam.d/common-account
account required            pam_faillock.so

如下图所示：

---

3.2、配置faillock.conf

root@ecs-b59d-0320772:~# vim /etc/security/faillock.conf
dir = /var/run/faillock
audit
# 输入错误密码几次进行锁定
deny = 10
# 统计时间
fail_interval = 30
# 普通用户锁定5秒
unlock_time = 5
# 启用对root用户的失败锁定
even_deny_root
# 对root用户的失败锁定5秒
root_unlock_time = 5

---

3.3、查看锁定情况

root@ecs-b59d-0320772:~# faillock

---

3.4、解锁用户

root@ecs-b59d-0320772:~# faillock --user sdjw --reset

---

总结：整理不易，如果对你有帮助，可否点赞关注一下？

更多详细内容请参考：Linux运维实战总结