pam_tally.so [file = * +2+ *] [onerr = [* +3+ * | * +4+ *]] [magic_root] [even_deny_root_account] [deny = * +5+ *] [lock_time = * +6+ *] [unlock_time = * +7+ *] [per_user] [no_lock_time] [no_reset] [審核] [靜音] [no_log_info]

pam_tally [--file * +9+ *] [--user * +10+ *] [--reset [= * +11+ *]] [--quiet]

6.32.1. DESCRIPTION

此模塊維護嘗試訪問的次數(shù)，可以重置成功訪問次數(shù)，如果太多嘗試失敗則可以拒絕訪問。

pam_tally 有幾個限制，可以通過 pam_tally2 解決。因此，不建議使用 pam_tally，并將在以后的版本中將其刪除。

pam_tally 有兩部分：* pam_tally.so *和 pam_tally 。前者是 PAM 模塊，后者是一個獨立程序。 pam_tally 是一個(可選)應(yīng)用程序，可用于查詢和操作計數(shù)器文件。它可以顯示用戶計數(shù)，設(shè)置單個計數(shù)或清除所有計數(shù)。人為地設(shè)置高計數(shù)可能對阻止用戶而不更改其密碼很有用。例如，可能會發(fā)現(xiàn)在每個午夜從 Cron 作業(yè)中清除所有計數(shù)很有用。可以使用 faillog(8)命令代替 pam_tally 來維護計數(shù)器文件。

通常，失敗的嘗試訪問* root 不會不會*導(dǎo)致 root 帳戶被阻止，以防止拒絕服務(wù)：如果未為您的用戶提供 shell 帳戶，并且 root 只能通過 su 或在機器控制臺(不是 telnet/rsh 等)上，這是安全的。

6.32.2. OPTIONS

GLOBAL OPTIONS

可以用于* auth 和 account *模塊類型。

onerr=[fail|succeed]

如果發(fā)生奇怪的事情(例如無法打開文件)，請返回 PAM_SUCCESS(如果給出了onerr=succeed)，否則返回相應(yīng)的 PAM 錯誤代碼。

file=/path/to/counter

歸檔保留計數(shù)的位置。默認(rèn)值為/var/log/faillog。

audit

如果找不到用戶，將用戶名登錄到系統(tǒng)日志中。

silent

不要打印信息性消息。沒有使用* silent *選項打印的消息會泄漏系統(tǒng)上的帳戶，因為它們不為不存在的帳戶打印。

no_log_info

不要通過 syslog(3)記錄信息性消息。

AUTH OPTIONS

身份驗證階段首先檢查是否應(yīng)拒絕用戶訪問，否則應(yīng)增加嘗試登錄計數(shù)器的次數(shù)。然后，在調(diào)用 pam_setcred(3)時，它將重置嘗試計數(shù)器。

deny=n

如果該用戶的計數(shù)超過* n *，則拒絕訪問。

lock_time=n

嘗試失敗后，請始終拒絕* n *秒。

unlock_time=n

嘗試失敗后* n *秒后允許訪問。如果使用此選項，則超過最大允許嘗試次數(shù)后，用戶將被鎖定指定的時間。否則，帳戶將被鎖定，直到系統(tǒng) Management 員手動干預(yù)解除鎖定為止。

magic_root

如果模塊由 uid = 0 的用戶調(diào)用，則計數(shù)器不會遞增。 sysadmin 應(yīng)該將此用于用戶啟動的服務(wù)，例如 su ，否則應(yīng)忽略此參數(shù)。

no_lock_time

請勿為此用戶使用/var/log/faillog中的.fail_locktime 字段。

no_reset

成功 Importing 時不要重置計數(shù)，只能遞減。

even_deny_root_account

根帳戶可能不可用。

per_user

如果/var/log/faillog包含該用戶的非零.fail_max/.fail_locktime 字段，請使用它代替deny=n/lock_time=n參數(shù)。

no_lock_time

請勿為此用戶使用/var/log/faillog中提交的.fail_locktime。

ACCOUNT OPTIONS

如果用戶不是“魔根”，則帳戶階段將重置嘗試計數(shù)器。此階段可以選擇用于無法正確調(diào)用 pam_setcred(3)的服務(wù)，或者無論其他模塊的帳戶階段是否失敗，都應(yīng)執(zhí)行重置操作。

magic_root

如果模塊由 uid = 0 的用戶調(diào)用，則計數(shù)器不會遞增。 sysadmin 應(yīng)該將此用于用戶啟動的服務(wù)，例如 su ，否則應(yīng)忽略此參數(shù)。

no_reset

成功 Importing 時不要重置計數(shù)，只能遞減。

6.32.3. 提供的模塊類型

提供了auth和account模塊類型。

6.32.4. 返回值

PAM_AUTH_ERR

提供的選項無效，模塊無法檢索用戶名，找不到有效的計數(shù)器文件或登錄失敗太多。

PAM_SUCCESS

一切都成功了。

PAM_USER_UNKNOWN

用戶未知。

6.32.5. EXAMPLES

在登錄失敗過多后，將以下行添加到/etc/pam.d/login以鎖定帳戶。允許失敗的次數(shù)由/var/log/faillog指定，并且需要在之前使用 pam_tally 或 faillog(8)進行設(shè)置。

auth required pam_securetty.so

auth required pam_tally.so per_user

auth required pam_env.so

auth required pam_unix.so

auth required pam_nologin.so

account required pam_unix.so

password required pam_unix.so

session required pam_limits.so

session required pam_unix.so

session required pam_lastlog.so nowtmp

session optional pam_mail.so standard

6.32.6. AUTHOR

pam_tally 由 Tim Baverstock 和 Tomas Mraz 撰寫。

總結(jié)

以上是生活随笔為你收集整理的linux pam模块 cron,Linux-PAM 1.1.2 中文文档 - 6.32. pam_tally-登录计数器(统计)模块 | Docs4dev...的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。