背景

从Rocky8开始已经采用faillock进行锁定用户，首先需要确定是否安装faillock

1

sudo dnf install pam_faillock

配置

faillock 需要通过 PAM 配置进行启用。需要修改 /etc/pam.d/system-auth 和 /etc/pam.d/password-auth 这两个文件（基于RHEL或CentOS的发行版）。

打开文件 /etc/pam.d/system-auth 和 /etc/pam.d/password-auth

1
2

sudo vi /etc/pam.d/system-auth
sudo vi /etc/pam.d/password-auth

在这两个文件中，找到 auth 行，添加以下配置来启用 faillock

1
2

auth required pam_faillock.so preauth audit silent deny=3 unlock_time=900
auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=900

• deny=3：允许最多 3 次失败登录尝试。
• unlock_time=900：锁定账户 15 分钟（900秒）。 这些参数可以根据你的需求调整：
• deny：指定允许的最大失败次数。
• unlock_time：指定账户在被锁定后多长时间自动解锁。

保存并关闭文件。配置文件修改后，faillock 会自动开始锁定超过规定次数的失败登录尝试。

查看失败登录记录

可以使用以下命令来查看失败的登录记录以及 faillock 锁定的用户

1

faillock --user xxx

显示当前系统中失败的登录尝试，包括尝试失败的次数和锁定的时间。

• 手动解锁账户 如果一个账户被锁定了，你可以使用 faillock 解锁它。使用以下命令手动解锁：

  1	sudo faillock --user <用户名> --reset

  这将重置失败计数并解锁账户。
• 查看锁定的用户 如果你不确定是哪个账户被锁定了，可以通过查看失败的登录记录来判断：

  1	faillock --user <用户名>

  你还可以使用 faillock --reset 来清除所有失败的登录记录。