faillock配置功能:登录错误密码deny=3次数后,锁定unlock_time=600秒。输入正确的密码600秒后,fail login count清零,可正常登录。在RHEL7中只需配置/etc/pam.d/password-auth 和/etc/pam.d/system-auth 文件。
通过 pam_faillock 模块存储登录试验失败的数据 /var/run/faillock 在每个用户的独立文件中
添加以下命令 /etc/pam.d/system-auth 文件和/etc/pam.d/password-auth 文件中的对应段
auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 注意: auth required pam_faillock.so preauth silent audit deny=3 必须在前面。 适用于root在pam_faillock 条目里添加 even_deny_root 选项 检查每个用户的尝试失败次数
$ faillock test: When Type Source Valid 2021-06-20 14:29:05 RHOST 192.168.56.1 V 2021-06-20 14:29:14 RHOST 192.168.56.1 V 2021-06-20 14:29:17 RHOST 192.168.56.1 V 解锁用户账户
faillock --user <username> --reset 关于faillock 验证连续错误和不连续错误
不间断连续输入三次错误密码
连续输错密码三次 
检查锁定情况,触发三次记录deny=3锁定600秒
输入正确的密码 无法登陆
间断输入一次错误,一次又一次错误密码
输入错误正确密码一次 再次输入两个错误的密码,一个正确的密码,发现仍然无法登录
证明:从上述实验可以看出,faillock 由于中间输入正确的密码,模块不会重置错误次数,错误次数会继续积累。