Linux登录访问控制

最新推荐文章于 2024-05-10 11:44:10 发布
最新推荐文章于 2024-05-10 11:44:10 发布
阅读量790 收藏 20
点赞数 22
分类专栏: Linux 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43629484/article/details/137047501
版权
本文详细介绍了如何在Linux系统中通过login.defs文件管理和设置用户密码的有效期,包括PASS_MAX_DAYS等参数的修改。此外,还讲述了如何通过pam.d/system-auth和pam_tally2模块实现密码复杂度规则、登录失败锁定策略等安全措施。
摘要由CSDN通过智能技术生成

Linux系统下的用户密码的有效期

可以修改密码可以通过login.defs文件控制。设置密码过期期限(默认情况下,用户的密码永不过期。)
编辑 /etc/login.defs 文件,可以设置当前密码的有效期限,具体变量如下所示:

# 查看默认配置
[root@iZm5e7avacv1htxtp7qbdyZ etc]# cat login.defs | grep PASS*
#       PASS_MAX_DAYS   Maximum number of days a password may be used.
#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.
#       PASS_MIN_LEN    Minimum acceptable password length.
#       PASS_WARN_AGE   Number of days warning given before a password expires.
PASS_MAX_DAYS   99999
PASS_MIN_DAYS   0
PASS_MIN_LEN    5
PASS_WARN_AGE   7

# 修改参数
[root@iZm5e7avacv1htxtp7qbdyZ etc]# sed -i -r 's/(PASS_MAX_DAYS)\s+[0-9]+/\1 90/' login.defs
[root@iZm5e7avacv1htxtp7qbdyZ etc]# sed -i -r 's/(PASS_MIN_LEN)\s+[0-9]+/\1 8/' login.defs

# 检查修改后的结果
[root@iZm5e7avacv1htxtp7qbdyZ etc]# cat login.defs | grep PASS*

参数说明:

  • PASS_MAX_DAYS:密码可以使用的最多天数
  • PASS_MIN_DAYS:密码更改之间允许的最小天数
  • PASS_MIN_LEN:可接受的最小密码长度
  • PASS_WARN_AGE:密码过期前发出警告的天数

在这里插入图片描述

linux 用户密码复杂度

用户密码复杂度规则设定,需要通过/etc/pam.d/system-auth文件去控制(针对的是普通用户修改密码会生效,root用户无效),centos6中默认是通过pam_cracklib.so模块控制,(在CentOS 7上实现密码复杂度策略设置,主要是使用PAM pwquality模块完成):

在这里插入图片描述

相关参数说明:

  • retry=3 定义登录/修改密码失败时,可以重试的次数;
  • type=xxx 当添加/修改密码时,系统给出的缺省提示符是什么,用来修改缺省的密码提示文本。默认是不修改的,如上例。
  • minlen=8 定义用户密码的最小长度为8位
  • ucredit=-1 定义用户密码中最少有2个大写字母 (数字为负数,表示至少有多少个大写字母;数字为正数,表示至多有多少个大写字母;下面同理)
  • lcredit=-1 定义用户密码中最少有4个小写字母
  • dcredit=-1 定义用户密码中最少有1个数字
  • ocredit=-1 定义用户密码中最少有1个特殊字符(除数字、字母之外)
  • remember=3 修改用户密码时最近5次用过的旧密码就不能重用了
  • difok=n 此选项用来规定新密码中必需有n个字符与旧密码不同。
  • minclass=n 此选项用来规定新密码中的字符类别的最小数目,字符一般有四种类别:数字、大写字母、小写字母,以及特殊字符。

linux 设置登录失败5次,锁定时间为5分钟

限制登录通常由/etc/pam.d/login文件限制的,可直接在#%PAM-1.0下,直接添加一行

# 不限制root用户
auth required pam_tally2.so deny=3 unlock_time=5
# 限制root用户
auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10

  1. 本文使用的是 pam_tally2 模块,如果不支持 pam_tally2 模块可以使用 pam_tally 模块,不同的模块设置不同,请参考模块使用方法进行设置

  2. 也可以直接在/etc/pam.d/system-auth中设

    auth     required  pam_tally2.so   onerr=fail  unlock_time=1800  no_magic_root
account  required  pam_tally2.so   deny=5  unlock_time=1800 no_magic_root  even_deny_root_account  per_user  reset

    参数说明:

    • auth: 表示这是认证阶段的规则。
    • required: 表示此模块是必需的,如果它失败,则认证失败。
    • pam_tally.so: 是PAM模块,用于跟踪用户登录失败的次数。
    • onerr=fail: 如果pam_tally.so模块遇到错误,则认证失败。
    • Unlock_time=1800: 指定用户账户在被锁定后多长时间(以秒为单位)自动解锁。这里是1800秒,即30分钟-
    • no_magic_root: 禁止root用户使用特殊权限来绕过登录失败次数的限制。
    • account: 表示这是账户管理阶段的规则。
    • deny=5: 指定在连续登录失败5次后,用户账户将被锁定。
    • even_deny_root_account: 即使对root用户也执行账户锁定策略。
    • per_user: 锁定策略是基于每个用户的,而不是全局的。
    • reset: 当用户成功登录后,重置登录失败计数器。

  3. 建议不要限制root用户,因为pam_tally没有解锁功能,哪怕配置了unlock_time也是不生效的

    1. 使用pam_tally2 -r -u username 手动解锁用户
    2. 使用pam_tally2 –u username查看用户错误登录次数

  4. 更多相关参数请参考 https://www.linux.org/docs/man8/pam_tally2.html

在这里插入图片描述

参考文档

  1. https://www.linux.org/docs/man8/pam_tally2.html

问题反馈

若对文中有任何的疑问,或者需要帮助可以通过以下方式进行反馈

  • 直接进行评论或者单独私聊

  • 发送邮件到:mr_xuansu@163.com

更多内容请关注微信公众号:萱蘇的运维日常

萱蘇的运维小站
关注
  • 22
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux下apache访问控制
weixin_41648905的博客
11-04 284
apache编译安装 tar jxvf httpd-2.4.29.tar.bz2 -C /opt yum -y install gcc gcc-c++ make pcre-devel expat-devel perl apr-util-devel apr-util-devel apr-devle cd /opt/httpd-2.4.29/ ./configure --prefix=/usr/local/httpd --enable-so --enable-rewrite --enable-charset-
linux-远程访问控制
自由
07-12 92
一openSSH服务器 1、ssh协议简介 ssh协议是一种安全通道协议,对通信数据进行了加密处理,用于远程管理 2、openSSH 服务名称:sshd 服务端主程序:/usr/sbin/sshd 服务端配置文件:/etc/ssh/sshd_config 二、配置OpenSSH服务器 1、sshd_config配置文件的常用选项 配置项 作用 vim /etc/ssh/sshd_config 进入配置文件 Port 22 监听端口为22 ListenAddress 0.0.0
Linux修改用户密码使用期限账号到期时间_linux修改 account expires
2401_84301832的博客
04-17 1053
PASS_MAX_DAYS 90 #密码最大有效期,表示90天后,密码会过期。它主要用于用户账号限制。修改了 /etc/login.defs下参数时,会立即生效,但是它只对修改后创建的用户生效。假如用户test有特殊需求,要求这个账号的密码永不过期,此时就可以使用chage命令来处理。PASS_MIN_DAYS 0 #两次修改密码的最小间隔时间,0表示可以随时修改账号密码。2、默认情况下,这个账号创建后,有效期是永久的,下面我们用命令来查看一下。3、按照需求,我们要对aihuidi这个用户,修改到期时间。
Linux设置用户的密码有效期
大宇进阶之路的博客
08-18 1万+
使用命令chage加参数可以查看,更改用户密码有效期
Linux修改用户密码使用期限账号到期时间_linux修改 account expires(2)
最新发布
m0_60721823的博客
05-10 808
PASS_MAX_DAYS 90 #密码最大有效期,表示90天后,密码会过期。修改了 /etc/login.defs下参数时,会立即生效,但是它只对修改后创建的用户生效。假如用户test有特殊需求,要求这个账号的密码永不过期,此时就可以使用chage命令来处理。PASS_MIN_DAYS 0 #两次修改密码的最小间隔时间,0表示可以随时修改账号密码。2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?
linux设置默认新创建账户的密码有效期
qq_17576885的博客
12-28 2438
说明 通过之前的命令只可更改当前已存在的账户的密码有效期,为了保障以后新建立的账户也可遵循相应的密码有效期规则,需要修改相应的配置文件。 检查方法 1)在终端中输入命令: [test@localhost ~]$ more /etc/login.defs 2)根据显示结果检查密码有效期 修改建议 1)使用vim编辑器修改密码有效期文件: [test@localhost ~]$ vim /etc/login.defs 2)PASS_MAX_DAYS后数值为密码最长有效期 PASS_MIN_DAYS后数值为密码.
Linux密码定期更换时间配置
凌奇寒雪的博客
04-28 5559
Linux密码定期更换时间配置的一些注意事项。
linux设置密码有效期设置永不过期
qq_41504815的博客
11-29 4774
l #例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期。-I #停滞时期。如果一个密码已过期这些天,那么此帐号将不可用。-m #密码可更改的最小天数,为0时代表任何时候都可以更改密码。1.查看admin用户密码默认情况,默认为永不修改。-E #帐号到期的日期。过了这天,此帐号将不可用。-W #用户密码到期前,提前收到警告信息的天数。-M #密码保持有效的最大天数。-d #上一次更改的日期。2.设置密码定期过期。
Linux设置用户密码过期时间或永不过期
热门推荐
weixin_44147924的博客
12-02 1万+
1.由于安全考虑需要设置密码有效期的情况,比如很多公司电脑会设置三个月有效期,有的也会对Linux服务器有这种要求,需要设置用户密码过期时间。2.没有安全考虑,且大部分机器做了互信,定期密码失效会影响业务,需要设置密码永不过期。
Linux系统访问控制机制的研究.pdf
10-18
Linux系统访问控制机制的研究.pdf
利用linux防火墙实现IP访问控制
09-28
自己总结的linuxe下通过linux防火墙软件实现对ip源目地址的访问控制,希望可以帮助到需要的朋友
基于Linux的强制访问控制研究.pdf
09-06
2. 访问控制增强模块:通过LKM(Loadable Kernel Module)技术,向现有Linux系统添加强制访问控制模块,替换原有的安全相关系统调用,以增强访问控制,提升系统安全性,该模块运行在核心态。 3. 访问控制信息管理...
探讨Linux访问控制.pdf
09-07
Linux访问控制详解】 操作系统的安全性至关重要,它直接影响到信息的安全性。Linux作为一个开源操作系统,其访问控制机制是确保系统安全的关键环节。本文将深入探讨Linux系统的访问控制,包括如何构建更细粒度...
增强Linux内核中访问控制安全的方法
09-15
Linux内核访问控制安全是确保操作系统安全的关键环节。在Linux环境中,有多种方法可以增强内核的安全性,防止未授权的访问和攻击。本文将详细探讨几种常见的技术,包括动态库劫持、系统调用劫持以及Linux Security ...
Linux文件访问控制技术.pdf
09-07
Linux文件访问控制技术是操作系统安全的核心组成部分,尤其是在Linux这样的开源操作系统中,理解并掌握这些技术对于系统的管理和维护至关重要。Linux采用自主访问控制(Discretionary Access Control, DAC)模式,...
linux 控制sshd的远程访问
07-29
本文教大家一个linux控制sshd的远程访问的方法,通过这种方法可以控制部分非授权访问。
Linux用户名、密码有效期设置
ttxs_ttxs的博客
10-07 617
m:表示密码有效的最小天数,不建议使用,默认为0。#root用户查看当前系统用户名、加密密码。#设置test用户用户名永不过期。#查看test用户密码是否过期。#设置test用户密码永不过期。-M:表示密码有效的最大天数。#查看当前系统用户名分组。
linux 设置用户过期时间
LQ的博客
12-01 1万+
设置新用户缺省密码的过期时间 vi /etc/login.defs 修改PASS_MAX_DAYS的值即可 以上设置只适用于进行该设置以后,新添加的用户,即把这个设置作为新添用户的缺省设置 对于系统已经存在的账号 passwd -x 90 account 例如修改root账户 passed -x 90 root 设置某个用户的密码有效期 chage -m 0 -M 90 -W 15 root 说明: (1)以上命令表示设置用户root的密码最小有效期为0天,最长有效期为90天,在密码过期前15天对用
大数据测试Linux平台搭建以及Linux命令基础
qq_34382453的博客
09-07 657
一 CentOS 6.5 修改主机名 1、编辑 /etc/sysconfig/network [root@localhost ~]# vi /etc/sysconfig/network NETWORKING=yes HOSTNAME=hadoop-01 2、hostname直接命名 [root@localhost ~]# hostna...
linux ssh访问控制
03-27
Linux SSH访问控制是指通过配置SSH服务器,限制哪些用户可以通过SSH协议远程登录服务器,并且可以进一步限制用户的权限和操作。下面是一些常见的Linux SSH访问控制方法: 1. 使用防火墙:可以使用iptables或者firewalld等防火墙工具,限制SSH服务只能从特定的IP地址或者IP地址段进行访问。 2. 修改SSH配置文件:可以通过修改SSH服务器的配置文件(通常是/etc/ssh/sshd_config),来限制SSH登录的用户和权限。以下是一些常见的配置选项: - AllowUsers:指定允许登录的用户列表,其他用户将被拒绝访问。 - DenyUsers:指定禁止登录的用户列表,其他用户将被允许访问。 - AllowGroups:指定允许登录的用户组列表,属于其他用户组的用户将被拒绝访问。 - DenyGroups:指定禁止登录的用户组列表,属于其他用户组的用户将被允许访问。 - PermitRootLogin:设置是否允许root用户通过SSH登录,建议禁止root登录以增加安全性。 3. 使用密钥认证:可以使用SSH密钥对进行认证,而不是使用密码。这种方式更加安全,可以通过配置文件(通常是~/.ssh/authorized_keys)来指定允许使用哪些密钥进行登录。 4. 使用限制登录shell:可以通过修改用户的登录shell,限制用户只能执行特定的命令或者脚本。例如,可以将用户的登录shell设置为/bin/false或者/sbin/nologin,这样用户只能通过SSH登录,但无法执行其他操作。 5. 使用PAM模块:可以使用PAM(Pluggable Authentication Modules)模块来对SSH登录进行更加细粒度的控制。通过配置PAM模块,可以实现诸如限制登录时间、限制登录次数、强制使用二次认证等功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值