Linux用户账户锁定（小白也能轻松掌握的账户安全指南）

什么是 Linux 账户锁定？

Linux账户锁定是指当某个用户在一定时间内连续输入错误密码达到设定次数后，系统会暂时或永久禁止该用户登录。这是一种有效的账户锁定机制，常用于提升系统的安全性。

为什么需要账户锁定？

想象一下，如果你的服务器暴露在公网，黑客可能会用自动化工具不断尝试常见密码（即“暴力破解”）。如果没有账户锁定机制，他们最终可能会猜中密码。通过启用账户锁定，即使密码较弱，也能有效延缓甚至阻止此类攻击。

如何配置账户锁定？

在大多数现代 Linux 发行版（如 CentOS、Ubuntu）中，我们可以使用 pam_faillock 模块来实现账户锁定功能。下面以 CentOS 7/8 或 RHEL 系统为例进行说明。

步骤 1：编辑 PAM 配置文件

打开系统认证配置文件：

sudo vi /etc/pam.d/system-auth

步骤 2：添加 faillock 规则

在文件中找到 auth 和 account 部分，添加以下内容（注意顺序很重要）：

# 在 auth 部分顶部添加auth        required      pam_faillock.so preauth silent audit deny=5 unlock_time=900auth        sufficient    pam_unix.soauth        [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900# 在 account 部分添加account     required      pam_faillock.so

参数说明：

• deny=5：允许最多 5 次失败登录尝试。
• unlock_time=900：锁定时间为 900 秒（15 分钟），之后自动解锁。若设为 0，则需管理员手动解锁。
• audit：记录失败尝试到系统日志（/var/log/secure）。

步骤 3：测试账户锁定

你可以用另一个终端或 SSH 连接，故意输错密码 5 次以上，然后尝试第 6 次登录，系统会提示类似：

Authentication failure

此时账户已被锁定。

步骤 4：查看和手动解锁账户

查看失败记录：

sudo faillock --user 用户名

手动解锁账户（例如用户名为 alice）：

sudo faillock --user alice --reset

其他注意事项

1. 对于 Ubuntu 系统，配置文件路径通常是 /etc/pam.d/common-auth 和 /etc/pam.d/common-account，但原理相同。

2. 建议不要对 root 用户启用自动锁定，以免锁住自己。可通过 even_deny_root 参数控制是否锁定 root。

3. 定期检查系统日志（/var/log/secure 或 /var/log/auth.log）有助于发现异常登录行为。

总结

通过合理配置 Linux安全策略中的账户锁定机制，可以显著提升系统的抗攻击能力。本文介绍的方法简单有效，即使是 Linux 新手也能轻松上手。记住，安全不是一劳永逸的事，定期审查和更新你的用户账户安全设置才是长久之计。

希望这篇教程能帮助你更好地保护自己的 Linux 系统！