包括root用戶

auth        required      pam_faillock.so preauth silent audit deny=3 even_deny_root unlock_time=600
auth        sufficient    pam_unix.so nullok try_first_pass
auth        [default=die] pam_faillock.so authfail audit deny=3 even_deny_root unlock_time=600
auth        sufficient    pam_faillock.so authsucc audit deny=3 even_deny_root unlock_time=600

Redhat 6/7 設(shè)置密碼輸入錯(cuò)誤x次，鎖定y秒

小記：在網(wǎng)上查了很多資料，基本上可以在文本模式實(shí)現(xiàn)鎖定，但是在命令行不行，最后查了紅帽官網(wǎng)的安全指南做出來(lái)了，不禁感嘆，做啥都是原版的好?。?/p>

非root用戶輸入密碼超過(guò)次數(shù)鎖定

要實(shí)現(xiàn)在三次失敗嘗試后，對(duì)任何非 root 用戶進(jìn)行鎖定，并在十分鐘后對(duì)該用戶解鎖，則須添加以下命令行到 /etc/pam.d/system-auth 文件和/etc/pam.d/password-auth 文件中的 auth 區(qū)段：
一定要放在#%PAM-1.0的下面一行，不然可能不生效
如果想要實(shí)現(xiàn)圖形化界面也鎖定的話，同樣需要修改/etc/pam.d/gdm 和 /etc/pam.d/gdm-passowrd

auth        required       pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth        sufficient     pam_unix.so nullok try_first_pass
auth        [default=die]  pam_faillock.so authfail audit deny=3 unlock_time=600

設(shè)置完成之后，輸入3次錯(cuò)誤，即鎖定用戶十分鐘，期間輸入的密碼即使是對(duì)的，也會(huì)提示錯(cuò)誤。

root用戶輸入密碼超過(guò)次數(shù)鎖定

要讓賬戶鎖定也適用于 root 用戶，則須在 /etc/pam.d/system-auth 文件和 /etc/pam.d/password-auth 文件中的pam_faillock 條目里添加 even_deny_root 選項(xiàng)：
注意：一定要放在#%PAM-1.0的下面一行，不然可能不生效
如果想要實(shí)現(xiàn)圖形化界面也鎖定的話，同樣需要修改/etc/pam.d/gdm 和 /etc/pam.d/gdm-passowrd

auth        required      pam_faillock.so preauth silent audit deny=3 even_deny_root unlock_time=600
auth        sufficient    pam_unix.so nullok try_first_pass
auth        [default=die] pam_faillock.so authfail audit deny=3 even_deny_root unlock_time=600
auth        sufficient    pam_faillock.so authsucc audit deny=3 even_deny_root unlock_time=600