限制密码重试次数,超过限制次数后锁定用户
本文PDF版下载 http://xunzhaoxz.itpub.net/resource/40016/29789
作者:xunzhao【转载时请以超链接形式标明文章出处和作者信息】
链接:http://xunzhaoxz.itpub.net/post/40016/488626
加强系统安全,其中一大要务就是保护好系统用户的密码安全,本文通过设置用户最大允许尝试密码次数为3,如果用户尝试密码错误次数超过3次后,该账户将被锁定,用户无法登录系统,除非管理员的介入,否则即使用户再输出正确的密码也无法登录系统,而是只得到系统提示的“3004-303 There have been too many unsuccessful login attempts; please see the system administrator.”,这样可以保护系统账号避免攻击者通过穷举法猜测密码。
具体步骤如下:
smit user ->
Change / Show Characteristics of a User ->
通过smit工具设置完成后,查看/etc/security/user显示如下,
daily:
admin = false
loginretries = 3
#loginretries = 3 就表示允许用户有3次的失败登录尝试
以test用户尝试5次错误密码后,第六次输入正确的密码,但依然无法登录系统,系统提示因尝试了太多次登录失败,请联系系统管理员。
login:test
daily's Password:
3004-007 You entered an invalid login name or password.
login: test
daily's Password:
3004-303 There have been too many unsuccessful login attempts; please see the system administrator.
以root身份登陆系统,查看/etc/security/lastlog中关于test用户的信息如下:
test:
time_last_login = 1249055415
tty_last_login = /dev/pts/15
host_last_login = 58.22.58.129
unsuccessful_login_count = 5
time_last_unsuccessful_login = 1249057164
tty_last_unsuccessful_login = /dev/pts/22
host_last_unsuccessful_login = 58.22.58.129
记录显示test用户一共有尝试了5次登录失败,包括最后一次成功登陆的、尝试失败的时间、IP等详细记录。此时test账号已经不能登录系统了,需要管理员的介入,解除锁定账号,以root用户登录系统vi /etc/security/lastlog把unsuccessful_login_count 一栏清零后,test用户就被解除锁定,可以再次登录了。
失败次数是怎么累计的?会自动归零吗?
当你有过登录失败的尝试后,如果在用户锁定之前成功登录了,系统会把失败登录次数unsuccessful_login_count重置为0,同时在你登录后会多出一条信息提示你之前有多少次失败的登录尝试,例如本实验设置最大允许次数为3,在尝试了2次失败,第三次成功后提示信息如下:
2 unsuccessful login attempts since last login.
Last unsuccessful login: Sat Aug 1 01:35:24 BEIST 2009 on /dev/pts/3 from 58.22.58.129
Last login: Sat Aug 1 00:43:50 BEIST 2009 on /dev/pts/22 from 58.22.58.129
提示在你本次成功登录之前有2次失败登录记录,该信息可用于日常的系统安全管理,如果你是系统的合法用户的话,在你登录系统后看到这样的信息,说明系统存在非法的登录尝试,系统可能存在安全风险甚至已经被入侵,应该引起警惕。