03-PAM_practice

最新推荐文章于 2024-04-28 16:05:49 发布
最新推荐文章于 2024-04-28 16:05:49 发布
阅读量657 收藏
点赞数
分类专栏: LinuxAdministration 文章标签: pam example
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010796631/article/details/50571236
版权

03-PAM_practice

限制centos用户只能够在worktime通过ssh远程连接本机

1、 A(172.16.249.206)添加centos用户

[root@husa security]# useradd centos
[root@husa security]# echo "root" | passwd --stdin centos
更改用户 centos 的密码 。
passwd:所有的身份验证令牌已经成功更新。

2、 B(172.16.249.207)另一台主机连接centos用户所在主机

[root@localhost ~]# ssh centos@172.16.249.206
The authenticity of host '172.16.249.206 (172.16.249.206)' can't be established.
RSA key fingerprint is 36:8e:f5:0e:4a:34:75:e6:69:a7:b6:8b:19:8e:d6:ce.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '172.16.249.206' (RSA) to the list of known hosts.
centos@172.16.249.206's password: 
[centos@husa ~]$ ifconfig
eno16777736: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.16.249.206  netmask 255.255.0.0  broadcast 172.16.255.255
        inet6 fe80::20c:29ff:fe4d:a050  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:4d:a0:50  txqueuelen 1000  (Ethernet)
        RX packets 2699445  bytes 234282128 (223.4 MiB)
        RX errors 0  dropped 1397  overruns 0  frame 0
        TX packets 50290  bytes 49619170 (47.3 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

3、 在/etc/pam.d/sshd文件中添加一行

account    required     pam_nologin.so
account    required     pam_time.so         #用于配置时间限制
account    include      password-auth

4、 在/etc/security/time.conf文件中添加下面一行

sshd;*;centos;MoTuWeThFr0800-1800   #这里表示centos可以在MoTuWeThFr0800-1800时间段内使用sshd服务从任何终端登录

这个条目还可以有其他的逻辑方式

login & sshd;*;centos;MoTuWeThFr0800-1800   #这里表示使用login或sshd登陆
sshd;*;centos|arch;!MoTuWeThFr0800-1800     #这里表示使用sshd服务的pam机制,在非工作日工作时段使用任何终端,arch和centos登陆

注意:time.conf文件中的条目只能使用一个wildcard

5、 在B主机使用centos用户ssh远程登录

[root@localhost ~]# ssh centos@172.16.249.206
centos@172.16.249.206's password: 
Connection closed by 172.16.249.206

可以发现,虽然账号密码sshd服务都正确,但是仍然不能远程登陆。

限制只有centos组内的用户可通过ssh连接到本机

配置方法差不多,简单过程为:

1、 添加用户到centos组
2、 在/etc/pam.d/sshd文件中使用account required pam_group.so PAM认证
3、 在/etc/security/group.conf文件中配置登陆选项
4、 另一台主机远程登陆

用户连续登陆失败3次以上就禁止登陆

使用pam_tally.so模块

pam_tally.so [ file=/path/to/counter ] [ onerr=[fail|succeed] ] [ magic_root ] [
even_deny_root_account ] [ deny=n ] [ lock_time=n ] [ unlock_time=n ] [ per_user ] [ no_lock_time ]
[ no_reset ] [ audit ]

pam_tally [ --file /path/to/counter ] [ --user username ] [ --reset[=n] ] [ --quiet ]

This module maintains a count of attempted accesses, can reset count on success, can deny access if too
many attempts fail.

总结

需要使用PAM时,请查看PAM官方文档。

华小熊
关注
专栏目录
【0185】PG内核客户端认证之HbaLine(5)
专注【PostgreSQL源码学习&研究】
04-06 365
从上面的文字描述中,可以看到PG内核对于有效行的处理内部是比较复杂和繁琐的,在char*类型、List数据类型、HbaToken类型、TokenizedLine类型之间反复的转换。如果没有整个转换过程的示意图,上面的流程是难以理解的。在前面的几篇文章中,和大家分享了PG内核是如何去读取pg_hba.conf客户端认证文件,以及在读取过程中是是如何一步步将文件中的内容读取到内存中这样的一个过程。虽然该数据类型中各成员变量pg内核中没有给出注释,但是其含义是非常明显的。
【python】Ch6_字符串-切片-替换-插入
khle08_Kuo cHun Lin
04-09 840
一个完整的字符串集合主要用来储存和表现基于文字的讯息,可以被加载到内存的文本内容,Internet 网址,和 python 程序中。下面附上一个参考网址:** http://www.runoob.com/python/python-strings.html对于 python 来说,字符串是种强大的处理工具集,与 C 语言不同,python 没有“单一字符”这个类型,而是“可以使用一个字符的字符串”...
用Linux-PAM模块实现用户登陆的控制.pdf
09-07
用Linux-PAM模块实现用户登陆的控制.pdf
Linux使用PAM锁定多次登陆失败的用户
weixin_34279579的博客
07-16 159
Linux有一个pam_tally2.so的PAM模块,来限定用户的登录失败次数,如果次数达到设置的阈值,则锁定用户。 编译PAM的配置文件 # vim /etc/pam.d/login #%PAM-1.0authrequiredpam_tally2.sodeny=3lock_time=300even_deny_rootroot_unl...
PAM设置禁止密码重复使用次数
最新发布
weixin_53389944的博客
04-28 465
因此,配置了这一行后,用户在更改密码时会受到密码历史记录的限制,不能使用之前使用过的密码,以增强密码安全性。如果新密码与历史记录中的任何密码重复,用户将无法更改密码。时,这表示在用户更改密码时会检查密码历史记录。禁止使用过去前13次使用的密码。配置文件中,当配置了。
基于PAM的用户权能分配
^_^
06-24 1304
这篇报告实际上是OS安全的一个小作业,放上来感觉可能会对未来的学弟学妹有所帮助。 文章目录基于PAM用户权限设置系统PAM简要介绍配置实验实验总结遇到的两个小问题参考资料 基于PAM用户权限设置系统 PAM简要介绍 PAM,全称Pluggable Authentication Modules for Linux,即Linux下的可拔插验证模块,可以允许系统管理员选择应用验证用户的方式。 早期,如果一个应用需要验证一个用户,需要在编译层面上加入特殊的验证机制。而传统的UNIX系统验证用户身份的方式是让用户.
CentOS 利用pam控制ssh用户的登录及SSH安全配置
热门推荐
耕耘——从菜鸟到高手的蜕变
04-30 1万+
CentOS 利用pam控制ssh用户的登录 有关pam的使用,请找相关的文档。下面只说两个简单的例子。 首先在/etc/pam.d/sshd加入一句: account    required     pam_access.so 然后再修改:/etc/security/access.conf,加上一句 -:ALL EXCEPT wheel: ALL 该文件的每一行由如下三个
2021-11-09bulidlfs
Crazyingamazying的博客
11-09 975
#Revision history #V1.1 zhaoxiaohu 2021.07.04 #V1.2 libaolin 2021.07.08 # # Linux From Scratch # Version 7.7-systemd # # Created by Gerard Beekmans # Edited by Matthew Burgess and Armin K. # # Implementer: Andrew Zhao # Create Date: 4-14-202...
blastpython_sequencealignment_blast_
10-03
5. **实践代码分析**:在提供的"2_04 Python Sequence Alignment - Practice Codes"文件中,很可能包含了更复杂的例子,例如自定义得分系统、本地BLAST(使用`blastp`或`blastn`二进制文件)、结果解析和可视化等。...
pam_tally.so模块详细介绍
小庄往左走
03-17 8673
pam_tally.so模块详细介绍 来源: ChinaUnix博客  日期: 2009.06.27 00:21 (共有0条评论) 我要评论 pam_tally - login counter (tallying) modulepam_tally.so [ file=/path/to/counter ] [
Linux下PAM模块学习总结
Nicholas的专栏
07-09 2430
在Linux中执行有些程序时,这些程序在执行前首先要对启动它的用户进行认证,符合一定的要求之后才允许执行,例如login, su等。在Linux中进行身份或是状态的验证程序是由PAM来进行的,PAM(Pluggable Authentication Modules)可动态加载验证模块,因为可以按需要动态的对验证的内容进行变更,所以可以大大提高验证的灵活性。 一、PAM模块介绍 Linux-PAM(即linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说,不用(重新编
CentOS7 基线检查
gd0913的博客
04-20 4628
口令锁定策略 威胁等级:Low 规则描述 设置口令认证失败后的锁定策略 审计描述 检查配置文件的/etc/pam.d/system-auth和/etc/pam.d/password-auth是否有 auth required pam_faillock.so preauth audit silent deny=5 unlock_time=180 auth [success=1 default=bad] pam_unix.so auth [default=die] pam_faillock.so auth
关于ssh的pam模块密码限制和登陆限制的说明和讲解,系统账号密码失效配置查看及网络不通登陆失败
weixin_43513408的博客
03-03 2069
pam的加密文件讲解: 密码有效期限,
linux pam 连接限制 ssh攻击,pam限制哪些用户可以使用sshd服务登陆
weixin_39638057的博客
05-13 352
首先,创建一个用户组:groupadd sshuservi /etc/pam.d/sshdauth required pam_sepermit.soauth include password-authaccount required pam_nologin.soaccount include password-authpass...
【Linux】linux配置用户多次登录失败后锁定
Maybe_ch的博客
06-21 6420
pam 1.进入/etc/pam.d/password-auth 文件 2.添加配置,以这条配置为例.我在这里只设置错误三次锁定当前用户(不包括root),锁定时间为60秒 auth required pam_tally2.so file=/var/log/tallylog deny=3 unlock_time=60 account required pam_tally2.so 参数 作用 even_deny_root 限制root用户 deny 设置普通用户和ro
linux 用户名限制,linux限制用户登陆的一些方法
weixin_31299075的博客
04-28 1846
以下均以redhat为例,其他的发行版没测过,没把握的千万不要在正式机上玩,登录不上就麻烦了。一、限制终端登陆/etc/securetty文件限制“root”用户可以从那个TTY设备登录。登录程序(通常是“/bin/login”)需要读取“/etc/securetty”文件。它的格式是:列出来的tty设备都是允许登录的,注释掉或是在这个文件中不存在的都是不允许root登录,这个只针对root用户...
sshd安全认证与安全连接
枝子的博客
04-09 317
1.sshd简介 sshd=secure shell 可以通过网络在主机中开启shell服务 客户端软件:sshd 链接方式: ssh username@ip #文本模式的连接 ssh -X username@ip #可以在连接成功后打开图形 第一次陌生连接主机时要建立认证文件,所以会咨询是否建立连接,需要输入yes 再次连接此主机时,因为已经生成 ~/.ssh/know_hosts文件,所...
linux PAM模块简介
u010230019的博客
04-14 2380
pam
linux-pam_SAG下载
05-30
https://www.linux-pam.org/Linux-PAM-html/Linux-PAM_SAG.html 该文档提供了详细的说明和示例,可以帮助你更好地理解和使用 PAM。同时,你也可以参考 Linux-PAM 官方网站获取更多的相关信息和资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值