Linux服务器：如何设置账户锁定策略

在Linux服务器上，启用账户锁定策略是提高系统安全性的重要步骤。通过限制账户的登录尝试次数和实施密码策略，可以有效地防止暴力破解攻击。以下是启用账户锁定策略的一般步骤：
步骤1：配置PAM（Pluggable Authentication Modules）
PAM是Linux中用于管理用户身份验证的模块。要启用账户锁定策略，需要编辑PAM配置文件。
打开/etc/pam.d/system-auth文件（或相应的PAM配置文件）。
在文件的auth部分添加以下行：
auth required pam_tally.so deny=5 unlock_time=600 even_deny_root
这行配置的含义是：当登录失败达到5次时，用户账户将被锁定，并在锁定后的600秒（10分钟）内无法解锁。even_deny_root表示即使是root用户也会受到锁定的限制。
步骤2：配置密码策略
打开/etc/security/pwquality.conf文件（或相应的密码策略配置文件）。
在文件中添加以下行：
maxrepeat = 3
minclass = 4
   minlen = 8
这行配置的含义是：密码不能包含相同字符超过3次，至少包含4种字符类别（大写字母、小写字母、数字、特殊字符），密码长度至少为8个字符。
步骤3：配置密码文件
打开/etc/security/opasswd文件（或相应的密码文件）。
确保该文件存在，如果不存在可以创建一个空文件。
步骤4：修改密码策略设置
打开/etc/login.defs文件。
查找以下行，并确保值设置为相应的数字：
PASS_MAX_DAYS 99999  PASS_MIN_DAYS 0  PASS_WARN_AGE 7
这表示密码的最大有效天数、最小有效天数和提前多少天发出密码到期警告。
步骤5：重启PAM服务
在完成上述更改后，建议重启PAM服务以使更改生效。执行以下命令重启PAM服务：
sudo systemctl restart pam.service
注意事项：
在进行这些更改之前，请确保备份相关的配置文件，以免在配置过程中发生错误。以上配置示例是通用的，具体配置可能因Linux发行版而异，请根据你使用的发行版查看相应的文档。可以根据实际需求调整deny、unlock_time、maxrepeat、minclass、minlen等参数的值。