问用pam_tally2在RHEL6中锁定帐户

EN

我使用帕姆_tally2锁定帐户后，每个策略3失败登录，然而，连接的用户没有收到错误指示pam_账2‘S动作。(通过SSH.)

我希望在第四次尝试中看到：

Account locked due to 3 failed logins

没有必要或必需的组合或文件中的顺序似乎有帮助。这是在红帽6下，我正在使用/etc/pam.d/password-auth。锁定确实按预期工作，但用户没有收到上述错误。这会造成许多混乱和沮丧，因为当他们确定使用正确的密码时，他们无法知道为什么身份验证失败。

实现遵循美国国家安全局的红帽企业Linux 5安全大会指南。(第45页)我的理解是，这是中的更改是/etc/amam.d/sshd现在包含/etc/am.d/password-auth，而不是系统-auth。唯一的东西。

如果您的安全策略需要在多次不正确的登录尝试之后锁定帐户，请实现pam_tally2.so的使用。要强制密码锁定，请将以下内容添加到/etc/panam.d/system-auth中。首先，添加到auth行的顶部: auth required pam_tally2.so deny=5 onerr=fail unlock_time=900第二，添加到帐户行的顶部: account required pam_tally2.so

编辑：

我通过在一次登录尝试中重置pam_tally2来获得错误消息。

user@localhost's password: (bad password)
Permission denied, please try again.
user@localhost's password: (bad password)
Permission denied, please try again.

(从另一个外壳重置pam_tally2 )

user@localhost's password: (good password)
Account locked due to ...
Account locked due to ...
Last login: ...
[user@localhost ~]$