Linux等保修复一键脚本,包含syslog读取、配置审计规则、配置密码策略、配置登录失败次数及锁定策略等功能。
auth [success=1 default=ignore] pam_unix.so nullok
# 引用pam_faillock.so模块
auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=600 fail_interval=900
auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=600 fail_interval=900
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_cap.so
-
auth [success=1 default=ignore] pam_unix.so nullok
:- 这是一个条件跳转配置。如果
pam_unix.so
成功,跳过下一条规则(即pam_faillock.so authfail
),继续执行后续规则。 nullok
允许空密码。
- 这是一个条件跳转配置。如果
-
auth [default=die] pam_faillock.so authfail
:- 如果前面的
pam_unix.so
失败,执行这条规则。default=die
表示如果pam_faillock.so authfail
失败,立即终止认证流程。
- 如果前面的
-
auth sufficient pam_faillock.so authsucc
:- 如果
pam_faillock.so authsucc
成功,则认证成功,不再执行后续规则。
- 如果
-
auth requisite pam_deny.so
:- 如果执行到这条规则,认证将被拒绝。
requisite
表示如果这条规则失败,立即终止认证流程。
- 如果执行到这条规则,认证将被拒绝。
-
auth required pam_permit.so
:- 这条规则总是成功,通常用于确保至少有一个成功的规则。
-
auth optional pam_cap.so
:- 这是一个可选模块,用于处理 Linux 能力(capabilities),不影响认证结果。
chmod +x config_update.sh
./config_update.sh