普通用户怎么查看linux系统密码错误几次后账户会被锁定

为了提高系统的安全性，一般会配置登录失败处理（密码错误几次后锁定账号），但是可能配置时间久了以后忘记之前配置的参数是什么了，比如密码错误几次账户就会被锁定、锁定多长时间等。这里记录下通过查看哪个配置文件来确认账号锁定相关配置。

配置文件位置

正常使用 authconfig 命令配置登录失败处理功能后，会将修改保存在 /etc/pam.d/system-auth-ac 和 /etc/pam.d/password-auth-ac 这两个配置文件中，我们只需要查看该文件配置即可。

如下文件中第6行所示即为失败锁定相关配置。

[me@imzcy ~]$ cat /etc/pam.d/system-auth-ac
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_faildelay.so delay=2000000
auth        required      pam_faillock.so preauth silent deny=6 fail_interval=900 unlock_time=600 even_deny_root root_unlock_time=600
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_faillock.so authfail deny=6 fail_interval=900 unlock_time=600 even_deny_root root_unlock_time=600
auth        required      pam_deny.so

account     required      pam_faillock.so
account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
[me@imzcy ~]$

[me@imzcy ~]$ cat /etc/pam.d/password-auth-ac
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_faildelay.so delay=2000000
auth        required      pam_faillock.so preauth silent deny=6 fail_interval=900 unlock_time=600 even_deny_root root_unlock_time=600
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

account     required      pam_faillock.so
account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok

auth        required      pam_faillock.so authfail deny=6 fail_interval=900 unlock_time=600 even_deny_root root_unlock_time=600

password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
[me@imzcy ~]$

参数讲解

deny=6 fail_interval=900 unlock_time=600 even_deny_root root_unlock_time=600

deny=6：指定登录失败的次数阈值。当某个用户登录失败的次数达到这个阈值时，账号将被锁定。
fail_interval=900：指定登录失败次数计算的时间间隔，单位为秒。在这个时间间隔内，登录失败的次数会被计算。
unlock_time=600：指定账号锁定后解锁的时间，单位为秒。在账号被锁定的情况下，该参数指定了多久后账号将自动解锁。
even_deny_root：这个参数指示是否也适用于 root 用户。如果设置为 even_deny_root，则即使是 root 用户也会受到上述的锁定策略限制。
root_unlock_time=600：该参数指定了 root 用户被锁定后解锁的时间，单位为秒。

本文采用知识共享署名4.0 国际许可协议进行许可。
本站文章除注明转载/出处外，均为本站原创或翻译，转载前请务必署名。
如果您的问题未解决，欢迎微信扫描右侧二维码与我联系。