PAM是一个用于实现身份验证的模块化系统，可以在操作系统中的不同服务和应用程序中使用。

pam_faillock模块

pam_faillock模块用来实现账号锁定功能，它可以在一定的认证失败次数后锁定用户账号，防止暴力破解密码攻击。

常见选项

• deny：指定锁定账号的失败次数阈值。默认为3次。
• unlock_time：指定锁定时间，即账号被锁定后的恢复时间。默认为600秒（10分钟）。
• fail_interval：指定两个认证失败事件之间的最小间隔时间。默认为900秒（15分钟）。在此间隔时间内，认证失败次数不会被计数。
• fail_delay：指定认证失败后的延迟时间。默认为1秒。

通过在PAM配置文件中添加类似以下行来配置pam_faillock模块：

auth        required      pam_faillock.so preauth
auth        required      pam_faillock.so authfail
account     required      pam_faillock.so

注意，以上配置行的位置顺序很重要，因为它们定义了模块的调用顺序。这些配置行应根据需要的策略和要求进行调整。

PAM登录失败账号锁定-案例

下面配置PAM安全策略，在身份验证过程中，如果连续失败五次，则锁定用户账户。

auth required pam_faillock.so authfil deny=5 unlock_time=0

• authfil选项指定是否将认证失败计数写入faillock数据库，默认为否。
• deny=5表示在连续5次认证失败后将锁定用户账号。
• unlock_time=0表示锁定时间为0，即用户必须联系管理员解锁账号。

这个配置的作用是增强安全性，防止暴力破解登录密码的攻击。当然，也可以根据需要进行修改，例如更改锁定次数或锁定时间。

audit选项

上面的配置不会记录认证失败事件到审计日志中，如果你想要记录认证失败事件，以便后续分析或审计目的，可以使用audit选项控制是否将认证失败的事件记录到系统审计日志中。

例如：在认证失败5次后将锁定用户账号，并将失败事件记录到系统的审计日志中

auth required pam_faillock.so authfil audit deny=5 unlock_time=0

如果不需要将认证失败事件记录到审计日志中，可以不使用audit参数或将其设置为audit_silent。这样认证失败事件将不会被记录到审计日志中，只会执行账号锁定操作。