PAM安全配置-用户密码锁定策略

最新推荐文章于 2024-04-28 16:23:24 发布
最新推荐文章于 2024-04-28 16:23:24 发布
阅读量1k 收藏 15
点赞数 23
文章标签: 安全 数据库 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dzqxwzoe/article/details/136426153
版权

PAM是一个用于实现身份验证的模块化系统,可以在操作系统中的不同服务和应用程序中使用。

pam_faillock模块

pam_faillock模块用来实现账号锁定功能,它可以在一定的认证失败次数后锁定用户账号,防止暴力破解密码攻击。

常见选项
  • deny:指定锁定账号的失败次数阈值。默认为3次。
  • unlock_time:指定锁定时间,即账号被锁定后的恢复时间。默认为600秒(10分钟)。
  • fail_interval:指定两个认证失败事件之间的最小间隔时间。默认为900秒(15分钟)。在此间隔时间内,认证失败次数不会被计数。
  • fail_delay:指定认证失败后的延迟时间。默认为1秒。

通过在PAM配置文件中添加类似以下行来配置pam_faillock模块:

auth        required      pam_faillock.so preauth
auth        required      pam_faillock.so authfail
account     required      pam_faillock.so

注意,以上配置行的位置顺序很重要,因为它们定义了模块的调用顺序。这些配置行应根据需要的策略和要求进行调整。

PAM登录失败账号锁定-案例

下面配置PAM安全策略,在身份验证过程中,如果连续失败五次,则锁定用户账户。

auth required pam_faillock.so authfil deny=5 unlock_time=0

  • authfil选项指定是否将认证失败计数写入faillock数据库,默认为否。
  • deny=5表示在连续5次认证失败后将锁定用户账号。
  • unlock_time=0表示锁定时间为0,即用户必须联系管理员解锁账号。

这个配置的作用是增强安全性,防止暴力破解登录密码的攻击。当然,也可以根据需要进行修改,例如更改锁定次数或锁定时间。

audit选项

上面的配置不会记录认证失败事件到审计日志中,如果你想要记录认证失败事件,以便后续分析或审计目的,可以使用audit选项控制是否将认证失败的事件记录到系统审计日志中。

例如:在认证失败5次后将锁定用户账号,并将失败事件记录到系统的审计日志中

auth required pam_faillock.so authfil audit deny=5 unlock_time=0

如果不需要将认证失败事件记录到审计日志中,可以不使用audit参数或将其设置为audit_silent。这样认证失败事件将不会被记录到审计日志中,只会执行账号锁定操作。

学习网络安全技术的方法无非三种:

第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。

第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

第三种就是去找培训。

image.png

接下来,我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。

第一阶段:基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
image.png

第二阶段:web渗透

学习基础 时间:1周 ~ 2周:

① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
image.png

配置渗透环境 时间:3周 ~ 4周:

① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。

渗透实战操作 时间:约6周:

① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
image.png
以上就是入门阶段

第三阶段:进阶

已经入门并且找到工作之后又该怎么进阶?详情看下图
image.png

给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

程序员小强_
关注
  • 23
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
pam-devel-1.1.1-24.el6.x86_64.rpm
09-25
pam-devel-1.1.1-24.el6.x86_64.rpm 适用RadHat 6.5 在离线环境下升级Openssh至7.6P1
配置Linux密码策略尝试密码N次失败锁定账号
热门推荐
bigwood99的博客
07-31 1万+
1.登录失败处理功能策略(服务器终端) vim /etc/pam.d/system-auth (服务器终端) 在首行#%PAM-1.0下增加: auth required pam_tally2.so onerr=fail deny=3 unlock_time=40 even_deny_root root_unlock_time=30 注意添加的位置,要写在第一行。 简要说明:普通帐户和 root 的帐户登录连续 3 次失败,就统一锁定 40 秒, 40 秒后可以解锁。...
PAM用户认证失败后禁止用户登录策略
最新发布
weixin_53389944的博客
04-28 145
功能,并且您希望在用户认证失败后实施一安全策略,那么可以保留这行配置配置文件中,这行配置的作用是指用户认证失败后禁止用户登录的策略。表示用户认证失败4次后禁止用户登录,并且解锁时间为0,即永久锁定需要手动解锁。模块用于设置用户认证失败的限制,包括最大的失败次数和解锁时间。功能,或者您不需要这种认证失败限制策略,可以考虑修改或删除这行配置。是一个条件语句,在这里表示只有当系统支持。功能时才包含该配置项。
linux尝试登录失败锁定用户账户的两种方法
weixin_30628801的博客
10-23 1208
一、pam_tally2模块 用于对系统进行失败的ssh登录尝试锁定用户帐户。此模块保留已尝试访问的计数和过多的失败尝试配置 使用/etc/pam.d/system-auth或etc/pam.d/password-auth配置文件来配置的登录尝试的访问 auth required pam_tally2.so deny=3 unlock_time=600 ...
Mysql5.7设置密码错误超过次数锁定策略
lq732830792的专栏
06-06 1881
Linux下也是一样的,只是把connection_control.dll改成connection_control.so。等保测评中提到需设置数据库安全策略,建议设置登录失败5次,锁定账户10分钟。windows下登录数据库,先安装插件。
CentOS系统安全合规配置
逆水行舟,不进则退。
07-26 2939
CentOS系统作为主流的linux系统分支,目前广泛部署应用于服务器作为服务器系统使用,为了提高服务器系统的安全行,需要根据自身安全工作需求,进一步对安装的CentOS系统进行简单的配置,来提高安全性,本文主要是总结工作中的一些简单安全配置一、CentOS系统密码策略以上主要是根据实际使用中遇到的需求进行收集配置,后续会继续补充。
pam模块之faillock
qq_42249813的博客
06-21 7055
pam模块之faillock
安全加固服务器
qq_43527659的博客
08-01 1087
ssh限制
centos 8和rhel 8的pam_faillock.so
Vic的博客
10-17 3595
pam_faillock(8) - Linux man page Name pam_faillock - Module counting authentication failures during a specified interval Synopsis auth ... pam_faillock.so{preauth|authfail|authsucc} [dir=/path/to...
pam-1.1.8-23.el7.x86_64.rpm
07-30
pam-1.1.8-23.el7.x86_64.rpm
pam-devel-1.1.1-17.el6.x86_64.rpm
01-19
pam-devel-1.1.1-17.el6.x86_64.rpm pam-devel-1.1.1-17.el6.x86_64.rpm pam-devel-1.1.1-17.el6.x86_64.rpm pam-devel-1.1.1-17.el6.x86_64.rpm
pam-devel-1.1.8-23.el7.x86_64.rpm
07-30
pam-devel-1.1.8-23.el7.x86_64.rpm
pam-MySQL-master.zip
11-29
pam-mysql模块,是用于基于mysql数据库的信息来进行pam模块统一认证的工具包,可以实现vsftp的认证的功能
物联网技能大赛-Ubuntu-(4)
weixin_55136879的博客
09-21 3224
物联网技能大赛-Ubuntu
Centos7(Ubuntu)密码登录失败锁定设置(亲测)
qq_40907977的博客
08-11 5670
在工作中为了防止恶意访问者暴力破解openssh口令。所我们需要设置登录系统失败锁定用户策略。 我的环境是Centos7 服务器1:192.168.239.142 服务器2:192.168.239.145 一、pam_tally2模块 编辑192.168.239.142的 /etc/pam.d/sshd 在第二行添加红框内容 # vi /etc/pam.d/sshd #%PAM-1.0 auth required pam_tally2.so onerr=fail deny=3 unlock_time=300
linux密码锁策略配置文件,Linux账户锁定策略
weixin_33750004的博客
05-13 1533
可是经本人测试实不可用,在尝试3次后会提示锁定,可是用正确密码仍可登录。无奈只得自行研究,并对此文件进行了解,结合网上一些教程,经过实验得出如下配置,在此随便鄙视下那些只会转载,不会实践的2B,浪费网络资源。实用配置如下:1 备份相应的配置文件[root@redhat pam.d]# cp system-auth system-auth.bak(备份文件)2 将配置文件system-auth,修...
设置密码输入超过次数限制被锁定策略
weixin_40208374的博客
08-31 599
出于安全性的考虑,数据库访问连续出错,应该被锁定,等待一段时间后才可继续使用。该方法是通过数据库自身插件实现。
linux配置基于PAM的账号口令的安全保护
06-03
Linux上,可以使用PAM(Pluggable Authentication Modules)来进行账号口令的安全保护。下面是基于PAM的账号口令安全保护的配置方法: 1. 配置密码策略 在/etc/pam.d/system-auth配置文件中,可以配置账号口令的策略,例如口令长度、复杂度、有效期等。可以使用pam_pwquality模块来实现,例如: ``` password requisite pam_pwquality.so try_first_pass retry=3 ``` 在这个例子中,使用pam_pwquality模块来实现口令的策略,并且只有在第一次尝试认证时才会检查。如果认证失败,则会重试三次。 2. 配置账号锁定 在/etc/pam.d/system-auth配置文件中,可以配置账号锁定策略。可以使用pam_tally2模块来实现,例如: ``` auth required pam_tally2.so deny=5 unlock_time=1800 ``` 在这个例子中,使用pam_tally2模块来实现账号锁定策略。如果用户连续认证失败五次,则账号会被锁定1800秒(30分钟)。 3. 配置认证日志 在/etc/pam.d/system-auth配置文件中,可以配置认证日志记录策略。可以使用pam_unix模块来实现,例如: ``` auth required pam_unix.so audit ``` 在这个例子中,使用pam_unix模块来实现认证日志记录策略,并且开启了审计功能。 4. 测试配置 在修改完成配置文件后,可以使用相应的账号进行测试,检查配置是否生效。 同时,还需要注意以下几点: 1. 需要期检查账号口令策略是否合理,并根据需要进行调整。 2. 需要对账号锁定进行监控,及时发现异常情况并进行处理。 3. 需要对认证日志进行监控,及时发现异常情况并进行处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值