pam_tally.so [file = * +2+ *] [onerr = [* +3+ * | * +4+ *]] [magic_root] [even_deny_root_account] [deny = * +5+ *] [lock_time = * +6+ *] [unlock_time = * +7+ *] [per_user] [no_lock_time] [no_reset] [審核] [靜音] [no_log_info]

pam_tally [--file * +9+ *] [--user * +10+ *] [--reset [= * +11+ *]] [--quiet]

6.32.1. DESCRIPTION

此模塊維護嘗試訪問的次數，可以重置成功訪問次數，如果太多嘗試失敗則可以拒絕訪問。

pam_tally 有幾個限制，可以通過 pam_tally2 解決。因此，不建議使用 pam_tally，并將在以后的版本中將其刪除。

pam_tally 有兩部分：* pam_tally.so *和 pam_tally 。前者是 PAM 模塊，后者是一個獨立程序。 pam_tally 是一個(可選)應用程序，可用于查詢和操作計數器文件。它可以顯示用戶計數，設置單個計數或清除所有計數。人為地設置高計數可能對阻止用戶而不更改其密碼很有用。例如，可能會發現在每個午夜從 Cron 作業中清除所有計數很有用。可以使用 faillog(8)命令代替 pam_tally 來維護計數器文件。

通常，失敗的嘗試訪問* root 不會不會*導致 root 帳戶被阻止，以防止拒絕服務：如果未為您的用戶提供 shell 帳戶，并且 root 只能通過 su 或在機器控制臺(不是 telnet/rsh 等)上，這是安全的。

6.32.2. OPTIONS

GLOBAL OPTIONS

可以用于* auth 和 account *模塊類型。

onerr=[fail|succeed]

如果發生奇怪的事情(例如無法打開文件)，請返回 PAM_SUCCESS(如果給出了onerr=succeed)，否則返回相應的 PAM 錯誤代碼。

file=/path/to/counter

歸檔保留計數的位置。默認值為/var/log/faillog。

audit

如果找不到用戶，將用戶名登錄到系統日志中。

silent

不要打印信息性消息。沒有使用* silent *選項打印的消息會泄漏系統上的帳戶，因為它們不為不存在的帳戶打印。

no_log_info

不要通過 syslog(3)記錄信息性消息。

AUTH OPTIONS

身份驗證階段首先檢查是否應拒絕用戶訪問，否則應增加嘗試登錄計數器的次數。然后，在調用 pam_setcred(3)時，它將重置嘗試計數器。

deny=n

如果該用戶的計數超過* n *，則拒絕訪問。

lock_time=n

嘗試失敗后，請始終拒絕* n *秒。

unlock_time=n

嘗試失敗后* n *秒后允許訪問。如果使用此選項，則超過最大允許嘗試次數后，用戶將被鎖定指定的時間。否則，帳戶將被鎖定，直到系統 Management 員手動干預解除鎖定為止。

magic_root

如果模塊由 uid = 0 的用戶調用，則計數器不會遞增。 sysadmin 應該將此用于用戶啟動的服務，例如 su ，否則應忽略此參數。

no_lock_time

請勿為此用戶使用/var/log/faillog中的.fail_locktime 字段。

no_reset

成功 Importing 時不要重置計數，只能遞減。

even_deny_root_account

根帳戶可能不可用。

per_user

如果/var/log/faillog包含該用戶的非零.fail_max/.fail_locktime 字段，請使用它代替deny=n/lock_time=n參數。

no_lock_time

請勿為此用戶使用/var/log/faillog中提交的.fail_locktime。

ACCOUNT OPTIONS

如果用戶不是“魔根”，則帳戶階段將重置嘗試計數器。此階段可以選擇用于無法正確調用 pam_setcred(3)的服務，或者無論其他模塊的帳戶階段是否失敗，都應執行重置操作。

magic_root

如果模塊由 uid = 0 的用戶調用，則計數器不會遞增。 sysadmin 應該將此用于用戶啟動的服務，例如 su ，否則應忽略此參數。

no_reset

成功 Importing 時不要重置計數，只能遞減。

6.32.3. 提供的模塊類型

提供了auth和account模塊類型。

6.32.4. 返回值

PAM_AUTH_ERR

提供的選項無效，模塊無法檢索用戶名，找不到有效的計數器文件或登錄失敗太多。

PAM_SUCCESS

一切都成功了。

PAM_USER_UNKNOWN

用戶未知。

6.32.5. EXAMPLES

在登錄失敗過多后，將以下行添加到/etc/pam.d/login以鎖定帳戶。允許失敗的次數由/var/log/faillog指定，并且需要在之前使用 pam_tally 或 faillog(8)進行設置。

auth required pam_securetty.so

auth required pam_tally.so per_user

auth required pam_env.so

auth required pam_unix.so

auth required pam_nologin.so

account required pam_unix.so

password required pam_unix.so

session required pam_limits.so

session required pam_unix.so

session required pam_lastlog.so nowtmp

session optional pam_mail.so standard

6.32.6. AUTHOR

pam_tally 由 Tim Baverstock 和 Tomas Mraz 撰寫。

總結

以上是生活随笔為你收集整理的linux pam模块 cron,Linux-PAM 1.1.2 中文文档 - 6.32. pam_tally-登录计数器(统计)模块 | Docs4dev...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。