mysql失败登录处理策略_CentOS 8.0配置安全策略（用户3次登录失败锁定3分钟）

一、本文主要实现

在centos8.0 环境下设置，输入密码错误3次，锁定用户3分钟。

二、实验环境

centos8.0。rh系统可做参考。centos7配置和centos8不一样，这里不概述。

三、说明

1、pam_tally2模块在centos8后已淘汰掉，centos8用pam_faillock 模块替换。

2、设置的是密码错误3次就锁住3分钟，不管3次是不是连续输入，只要在一段时间内错误3次就锁住(系统默认好像15分钟内，另外尽管有的博客说是要连续输入，但在centos8.0系统不管是不是连续输入，只要达到3次就会锁住，这点本人亲测，除非写的认证语句不一样这个自己去研究，测试方法写在最后)。

3、锁住一次后，等解锁了，3次会清0；

操作文件

/etc/pam.d/system-auth

/etc/pam.d/password-auth

四、操作

通过 pam_faillock 模块，将登录尝试失败的数据储存在 /var/run/faillock 目录下每位用户的独立文件中

4.1 配置

添加以下命令行到 /etc/pam.d/system-auth 文件和/etc/pam.d/password-auth 文件中的对应区段：

auth required pam_faillock.so preauth silent audit deny=3 unlock_time=300

auth sufficient pam_unix.so nullok try_first_pass

auth [default=die] pam_faillock.s