操作系统账户锁定(pam_tally, faillock,usermod,expires)

最新推荐文章于 2024-05-30 20:15:00 发布
最新推荐文章于 2024-05-30 20:15:00 发布
阅读量955 收藏 13
点赞数 25
分类专栏: Linux 文章标签: 服务器 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangchao2679/article/details/138977097
版权

一、pam_tally导致账户锁定

1、在/etc/pam.d/system-auth和/etc/pam.d/password-auth中增加配置,只在system-auth中增加不起作用。

auth        required      pam_tally2.so  deny=3 unlock_time=60

该配置不会锁定管理员root用户,只会锁定普通用户;

要同时锁定管理员用户,需要增加even_deny_root参数,使限制同时对root生效。

auth        required      pam_tally2.so  deny=3  even_deny_root unlock_time=60

2、使用错误账户密码登录3次就会锁定60秒

3、使用root用户解锁

# pam_tally2 -u ossadm -r --reset

解锁后错误登录次数会清除

如果是等60s自动解锁后,不会清除错误登录次数。如果使用正确密码登录成功一次,会清除错误登录次数。

二、pam_faillock导致账户锁定

1、在/etc/pam.d/system-auth和/etc/pam.d/password-auth中增加配置

auth        required      pam_faillock.so preauth audit deny=3 even_deny_root unlock_time=60

尝试错误登录3次,锁定60s

主要看faillock命令显示的valid值,V表示有效(错误密码登录), I表示无效。

查询每个用户尝试失败次数,如ossadm

# faillock --user ossadm

解锁用户

# faillock --user ossadm --reset

faillock模块不会因为中途输入正确密码而重置错误次数,错误次数不不断累加。

三、用户禁用

 # usermod -L ossadm

禁用用户后使用正确的密码不能正常登录, 被锁定账户加密串前会存在!或者*

 # usermod -U ossadm

四、用户不能su切换到root

 auth           required        pam_wheel.so use_uid

注释该行后ossadm用户可以su到root

取消注释后ossadm用户不能su到root

使用gpasswd将ossadm添加进wheel组之后,ossadm可以正常切换root。

五、账户密码过期

#  chage -I -1 -m 0 -M 99999 -E -1 ossadm

-I, --inactive INACTIVE       设置密码过期后不活动

密码过期后输入正确密码的提示:You are required to chage your password immediately(administrator enforced)

Changing password ossadm

Current password:

New password:

-E, --expiredate EXPIRE_DATE       设置账户过期日期

账户过期输入正确密码的提示:Your account has expired; please contact your system administrator.

su:User account has expired

 -m, --mindays MIN_DAYS   密码最短使用期限

 -M, --maxdays MAX_DAYS  密码最长使用期限

小嘟嘟2679
关注
  • 25
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PAM用户认证失败后禁止用户登录策略
weixin_53389944的博客
04-28 143
功能,并且您希望在用户认证失败后实施一定的安全策略,那么可以保留这行配置。配置文件中,这行配置的作用是指定在用户认证失败后禁止用户登录的策略。表示用户认证失败4次后禁止用户登录,并且解锁时间为0,即永久锁定需要手动解锁。模块用于设置用户认证失败的限制,包括最大的失败次数和解锁时间。功能,或者您不需要这种认证失败限制策略,可以考虑修改或删除这行配置。是一个条件语句,在这里表示只有当系统支持。功能时才包含该配置项。
linux尝试登录失败后锁定用户账户的两种方法
09-15
主要给大家分享了linux尝试登录失败后锁定用户账户的两种方法,分别是利用pam_tally2模块和pam_faillock 模块实现,文中通过详细的示例代码介绍的非常详细,需要的朋友可以参考借鉴,下面来一起看看吧。
linux|奇怪的知识---账号安全加固,ssh安全加固
zsk_john的技术分享专用博客
02-28 2944
一般情况下,我们对于账号的安全是比较随意的,因为在生产环境里,基本都是使用堡垒机这样的带有安全审计功能的工具对各个主机进行监控,管理,并且结合prometheus,zabbix等等其它监控软件,会对主机的一个整体概况有一个直观的感受。 OK,如果堡垒机什么的任意一个点被持有恶意的人攻破,那么,无疑是会引发数据泄露的,因此,我们需要从根源上对主机做安全加固,比如, 操作系统内的所有用户的密码设定复杂度,例如,密码长度不低于8位,必须带有大小写和特殊符号至少一个,密码不得设定为常用字,例如,不得设置syst
Ubuntu 16.04.3 LTS操作系统安全加固
weixin_40133285的博客
05-13 1704
Ubuntu 16.04.3 LTS操作系统安全加固 基线策略 口令复杂度 登录失败处理 操作审计 SSH passwd apt-get -y install openssh-server vim 《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》cat /etc/login.defs cat /etc/pam.d/common-auth service auditd status auditctl -s -l pam_cracklib.so
第十章、系统安全及应用
day day up
06-06 481
系统账号清理 将非登录用户的Shell设为/sbin/nologin 锁定长期不使用的账号 解锁账号 删除无用的账号 锁定账号文件passwd、shadow 设置密码有效期要求用户下次登录时修改密码适用于新建用户: vi /etc/login.defs 扩展通过pam模块来防止暴力破解ssh [root@benet ~]vim /etc/pam.d/sshd 在第一行下面添加一行: auth required pam tally2.so deny=3 unlock time=600 leven deny r
Centos7下关于系统用户密码规则-运维笔记
Quan的博客
09-18 2439
针对Centos7下的系统用户的密码规则复杂度的设置,处于安全考虑,说明如下: 一、设置密码规则 1)密码长度、有效期 /etc/login.defs文件是当创建用户时的一些规划,比如创建用户时,是否需要家目录,UID和GID的范围;用户的期限等等,这个文件是可以通过root来定义的。 1 2 3 4 5 6 PASS_...
Linux系统安全配置
kakaau的博客
03-28 3519
相信很多小伙伴都很苦恼被黑客入侵,这里有一些基本安全配置方法可供大家参考。 1.防止任何人使用su命令成为root(删除系统中多余的帐号,则不必做该项) 如果不想任何人都可以用“su”命令成为root 或 只让某些用户有权使用“su”命令,须在“/etc/pam.d/su”文件的头部加入下面两行,确保只有“wheel”组的成员才能用su 命令成为root: auth sufficie
centos7 用户相关操作
那些年匆匆
01-22 1844
所有命令基于centos7系统 1.新建用户 #useradd testa 2.指定用户家目录 # useradd test2 -d /tmp/ 3.指定用户shell [root@localhost ~]# useradd test3 -d /tmp/ ... [root@localhost ~]# id test3 uid=1004(test3) gid=1004(tes...
Linux 安全加固大全(合集)
qq_37561898的博客
06-19 8738
linux加固 mysql 密码策略 ssh
Linux系统安全配置基本方法
chunlu2438的博客
03-27 168
相信很多小伙伴都很苦恼被黑客入侵,这里有一些基本安全配置方法可供大家参考。 1.防止任何人使用su命令成为root(删除系统中多余的帐号,则不必做该项) 如果不想任何人都可以用“su”命令成为root 或 只让某些用户有权使用“su”命令,须在“/etc/pam.d/su”文件的头部加入下面...
pam_chroot.zip_linux pam _pam模块
09-14
linux下可插入验证模块更改用户权限和目录权限的代码,很有参考价值!
Centos7下用户登录失败N次后锁定用户禁止登陆的方法
01-10
Linux有一个pam_tally2.so的PAM模块,来限定用户的登录失败次数,如果次数达到设置的阈值,则锁定用户PAM的配置文件介绍 PAM配置文件有两种写法: 一种是写在/etc/pam.conf文件中,但centos6之后的系统中,这个...
PAM.zip_PAM_PAM spectrum_Spectrum pam_功率谱分析
07-15
PAM功率谱分析研究,包含MATLAB程序以及实验过程和参数
PAM_SPECTRUM.rar_MATLAB CODE PAM_attention
07-15
this code show PAM Spectral . this code write in matlab. tanks a lot for attention this code show PAM Spectral . this code write in matlab. tanks a lot for attention
华纳云:在一个服务器上如何设置多个IP地址?
YOKEhn的博客
05-27 341
在Windows上,可以通过网络连接的高级TCP/IP设置或使用netsh命令添加多个IP地址。在一个服务器上设置多个IP地址的具体步骤取决于所使用的操作系统(例如Linux或Windows)。你也可以使用ip命令临时配置多个IP地址,这在需要立即生效但不重启网络服务的情况下非常有用。在“IP 设置”标签下,点击“添加”按钮,输入新的IP地址和子网掩码,然后点击“添加”。选择“Internet 协议版本 4 (TCP/IPv4)”,然后点击“属性”。右键点击要配置的网络适配器,选择“属性”。
Unity开发——获取服务器xLua文件,并保存到本地使用
最新发布
好记性不如烂笔头
05-30 457
一、将xlua文件放到服务器上 搭建服务器环境;设置文件路径、地址 二、异步协程获取服务器lua文件并把内容复制到本地文件中 获取服务器数据;数据写入本地;使用服务器获取数据说明; 三、特别说明: 普通数据获取与AB包资源获取;异步请求两者等待方式区别;
Linux系统下安装配置nginx,本地访问服务器nginx
y662225dd的博客
05-29 413
3.本地测试服务器上的nginx,出现以下画面即可表示安装nginx成功了,本地连接也没问题。5.安装成功后,nginx会默认安装在/usr/local/nginx目录下。4.编译安装Nginx。1.进入到nginx目录下的sbin。http://服务器ip:8080。
服务器数据恢复—异常断电导致ESXi虚拟机无法启动的数据恢复案例
beiya123的博客
05-29 588
服务器数据恢复环境: 某大厂PS4000服务器服务器上部署VMware ESXi虚拟化平台。 服务器故障: 机房断电,重启后服务器中的某台虚拟机不能正常启动。管理员查看虚拟机配置文件,发现无法启动的虚拟机的配置文件除了磁盘文件以外其他配置文件全部丢失,xxx-flat.vmdk磁盘文件和xxx-000001-delta.vmdk快照文件还存在。联系VMware原厂工程师进行诊断,VMware原厂工程师尝试新建一个虚拟机,但发现存储空间不足,于是将故障虚拟机下的xxx-flat.vmdk磁盘文件删除了。
linux操作系统启用pam_tally2模块的合规登录失败处理策略。
03-23
PAM(Pluggable Authentication Modules)是Linux系统中用于进行身份验证的模块化框架。pam_tally2模块是PAM框架中的一个模块,用于记录用户登录失败的次数,并根据设定的策略进行处理。 启用pam_tally2模块的合规登录失败处理策略,可以通过修改PAM配置文件来实现。具体步骤如下: 1. 打开PAM配置文件/etc/pam.d/system-auth,找到以下两行: auth required pam_tally2.so deny=5 unlock_time=1200 account required pam_tally2.so 2. 将第一行中的“deny=5”改为“deny=3”,表示用户登录失败3次后将被禁止登录;将“unlock_time=1200”改为“unlock_time=300”,表示用户被禁止登录后,需要等待300秒才能再次尝试登录。 3. 保存文件并退出。 这样,当用户登录失败次数达到设定的阈值时,系统会自动禁止该用户登录一段时间,从而提高系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值