linux用户双重认证登录,linux PAM 用户登录认证

最新推荐文章于 2024-06-09 22:39:49 发布
最新推荐文章于 2024-06-09 22:39:49 发布
阅读量742 收藏 1
点赞数
文章标签: linux用户双重认证登录

PAM(Pluggable Authentication Modules )是由Sun提出的一种认证机制。它通过提供一些动态链接库和一套统一的API,将系统提供的服务 和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系 统中添加新的认证手段。从本篇开始会总结一些常用的pam模块及其实现的功能,今天讲的是pam_tally2模块。

一、参数与场景

应用场景:设置Linux用户连续N次输入错误密码进行登陆时,自动锁定X分钟或永久锁定(这里的永久锁定指除非进行手工解锁,否则会一直锁定)。

配置格式:

pam_tally2.so [file=/path/to/counter] [onerr=[fail|succeed]] [magic_root] [even_deny_root] [deny=n] [lock_time=n] [unlock_time=n]  [root_unlock_time=n] [serialize] [audit] [silent] [no_log_info]

参数相关:

1、全局参数

file   用于指定统计次数存放的位置,默认保存在/var/log/tallylog文件中;

onerr   当意外发生时,返加PAM_SUCCESS或pam错误代码,一般该项不进行配置;

audit   如果登录的用户不存在,则将访问信息写入系统日志;

silent   静默模式,不输出任何日志信息;

no_log_info 不打印日志信息通过syslog

上面的五项全局参数,一般在使用中都不需要单独配置。

2、认证选项

deny:指定最大几次认证错误,如果超出此错误,将执行后面的策略。如锁定N秒,如果后面没有其他策略指定时,默认永远锁定,除非手动解锁。

lock_time:锁定多长时间,按秒为单位;

unlock_time:指定认证被锁后,多长时间自动解锁用户;

magic_root :如果用户uid=0(即root账户或相当于root的帐户)在帐户认证时调用该模块发现失败时,不计入统计;

no_lock_time:个人理解即不进行用户锁定;

even_deny_root:root用户在认证出错时,一样被锁定(该功能慎用,搞不好就要单用户时解锁了)

root_unlock_time:root用户在失败时,锁定多长时间。该选项一般是配合even_deny_root 一起使用的。

二、使用示例

1、示例:

auth required pam_tally2.so deny=3 unlock_time=5 even_deny_root root_unlock_time=10

最多连续三认认证登录都出错时,5秒后解锁,root用户也可以被锁定,root用户10秒后解锁。

/etc/pam.d/login中配置只在本地文本终端上做限制;

/etc/pam.d/kde在配置时在kde图形界面调用时限制;

/etc/pam.d/sshd中配置时在通过ssh连接时做限制;

/etc/pam.d/system-auth中配置凡是调用 system-auth 文件的服务,都会生效。

以下是pam_tally2的man手册中,给出的一个pam下的login调用该模块的示例:

auth     required       pam_securetty.so

auth     required       pam_tally2.so deny=4 even_deny_root unlock_time=1200

auth     required       pam_env.so

auth     required       pam_unix.so

auth     required       pam_nologin.so

account  required       pam_unix.so

password required       pam_unix.so

session  required       pam_limits.so

session  required       pam_unix.so

session  required       pam_lastlog.so nowtmp

session  optional       pam_mail.so standard

注:pam_tally2与pam_tally模块的区别是前者增加了自动解锁时间的功能,后者没有。所以在老的发行版中,如果使用了pam_tally模块时,可以使用pam_tally 、faillog配合crontab 进行自动解锁。

2、解锁与查看失败

可以通过以下指令查看361way用户登录的错误次数及详细信息:

pam_tally2 --user 361wat

可以通过以下命令清空361way用户的错误登录次数,即手动解锁:

pam_tally2 --user 361way --reset

同样,使用faillog -r命令也可以进行解

wyj耶
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
配置Linux使用LDAP用户认证的方法
09-14
Linux环境中,使用LDAP(轻量级目录访问协议)进行用户认证是一种常见的集中式身份验证方法,它允许管理员在一个中心化的目录服务器上管理用户账户和权限。本篇将详细介绍如何在CentOS 7系统上配置Linux以使用LDAP...
Linux下使用pam_python实现SSH的双因子认证登录
chenglanqi6606的博客
05-09 1172
引言 Linux系统管理员(System Administrator,SA)经常碰到的问题就是放在公网的服务器经常被人猜测密码,每天都可以从系统日志里看到探测密码的信息,再加上最近很多厂商泄露了包含用户密码的数据库,撞库的行为也逐步开始转移到SSH上。 最初SA的防御手段一般是限制IP地...
Linux服务器安全设置
LOOPY_Y的博客
08-28 2595
主要汇总常见的Linux服务器安全设置,主要包括:密码复杂度设置、密码复杂度检查、密码失效时间、密码修改最小间隔时间、登陆失败设置、限制root权限用户远程登录、命令历史记录保存数量、登录超时自动登出设置等......
linux访问认证类-PAM模块学习1-附加ssh
最新发布
weixin_44364942的博客
06-09 920
一、PAM 1.不是一个应用程序,是一种认证框架,为各类应用程序(如:ssh、telnet、ftp、su)提供认证服务;例如ssh服务需要对用户的身份、特征(是普通用户还是root用户),用户的密码是否正确、是否过期,进行验证时就可以调用PAM模块;有了PAM模块,开发人员不再需要针对一个程序单独开发用户认证功能,直接调用PAM模块即可。 2.SSH服务本身具备基础的用户验证机制(在/etc/ssh/sshd_config文件中实现远程登录时,对于用户、密码等属性的限制),但并不丰富,易被攻击,
linux 登入双重验证
jiandanjiugood的博客
09-01 310
1、搭建yum源 2、安装软件所需要的依赖包 yum install wget gcc make pam-devel libpng-devel -y 下载软件上传至linux服务器并安装。软件已经上传至百度网盘 链接:https://pan.baidu.com/s/10gnFC4PrHpuYAtz6wsVG7w 提取码:5aib 3、yum install google-authenticator-1.04-1.el7.x86_64.rpm -y 4、root...
linux 密码设置及登陆控制/设置密码复杂度 (/etc/pam.d/system-auth)
西京刀客
06-15 3万+
文章目录一、linux密码设置及登陆控制1. Linuxpam模块1.1 PAM的模块类型1.2 常用PAM模块介绍2. LINUX设置密码复杂度3. 用户不能使用su来进行切换用户二、参考 一、linux密码设置及登陆控制 密码设置及登陆控制文件位置:/etc/pam.d/system-auth 1. Linuxpam模块 Linux-PAM(linux可插入认证模块)是一套共享库,使本地系统管理员可以随意选择程序的认证方式。换句话说,不用重新编译一个包含PAM功能的应用程序,就可以改变它使用的认证
Linux下的/etc/pam.d/system-auth配置文件参数说明
oldboy1999的博客
12-12 1万+
Linux下的/etc/pam.d/system-auth配置文件参数说明
linux Pam认证
09-08
PAM(Pluggable Authentication Modules)即可插拔式认证模块,它是一种高效而且灵活便利的用户级别的认证方式,它也是当前Linux服务器普遍使用的认证方式。当然,在不同版本的Linux统中部署PAM认证是有所不同的,本文...
利用PAM增强Linux登录认证安全性.pdf
09-07
"利用PAM增强Linux登录认证安全性" 本篇文章主要介绍了如何使用PAM(Pluggable Authentication Modules,插件式鉴别模块)来增强Linux登录认证安全性。文章首先分析了Linux登录机制,然后讨论了如何使用PAM进行用户...
Linux限制用户登录.txt
12-24
Linux限制用户登录
LinuxPAM安全认证机制.pdf
09-06
Linux PAM 安全认证机制 Linux 操作系统中,安全认证机制是非常重要的,PAM(Pluggable Authentication Modules,插件认证模块)是Linux中的一种安全认证机制。PAM的主要作用是提供一个统一的认证接口,让不同的...
linux中/etc/pam.d/system-auth文件详解
热门推荐
ghjzzhg的博客
07-01 5万+
密码设置及登陆控制文件位置:/etc/pam.d/system-auth, 示例文件内容如下: auth required pam_securetty.so auth required pam_unix.so shadow nullok auth required pam_nologin.so account required pam_unix.so ...
如何为Linux系统中的SSH添加双重认证
weixin_34309543的博客
09-02 147
近来很多知名企业都出现了密码泄露,业内对多重认证的呼声也越来越高。在这种多重认证的系统中,用户需要通过两种不同的认证程序:提供他们知道的信息(如 用户名/密码),再借助其他工具提供用户所不知道的信息(如 用手机生成的一次性密码)。这种组合方式常叫做双因子认证或者两阶段验证。为了鼓励广泛采用双因子认证的方式,Google公司发布了Google Authenticator,一款开...
PAM认证机制
weixin_42741132的博客
10-06 1916
PAM介绍 认证库:文本文件, MySQL, NIS, LDAP等 Sun公司于1995 年开发的一种与认证相关的通用框架机制 PAM 是关注如何为服务验证用户的 API, 通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开 使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无 需更改服务程序。 一种认证框架,自身不做认证 它提供了对所...
Linux root用户密码输入错误锁定策略;使用旧密码失败
qq_42553178的博客
06-28 4055
Linux root用户密码输入错误锁定策略;使用旧密码失败
系统安全及应用
gcc001224的博客
04-08 5398
一、账号安全基本措施 1.系统账号清理 将非登录用户的Shell设为/sbin/nologin usermod -s /sbin/nologin 用户名 锁定长期不使用的账号 usermod -L用户名 passwd -l用户名 (锁定用户) usermod -U用户名 passwd -u用户名 (解锁) passwd -S 用户名 (查看用户状况) 删除无用的账号 userdel[-r]用户名 锁定账号文件passwd、shadow chattr +i /et...
Linux下/etc/pam.d/system-auth文件内容
Yonx
09-01 6471
[root@localhost ~]# cat /etc/pam.d/system-auth #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth required pam_faildelay.so delay=2000000 auth ...
linux安全加固手册——密码策略
weixin_44511709的博客
10-18 2046
密码策略 1.不重复使用最近的口令 应该配置设备,使用户不能重复使用最近五次(含五次)内已使用的口令 执行: cat /etc/pam.d/system-auth 检查 password requeired pam_unix.so的所在行是否存在remember=5,如图所示 执行: ls /etc/security/opassed 检查是否存在/etc/security/opasswd...
linux密码策略md5,linux系统安全常规优化---密码策略设置
weixin_29978783的博客
04-30 827
5、限制用户密码的最小长度在Redhat系统中,主要基于cracklin模块检查用户的密码复杂性和安全强度,增加minlen(最小长度)参数的值可以有效地提高密码的安全性。缺省情况下,minlen的默认值是10,对应的用户口令最短长度约为6(需要注意,cracklib基于密码串长度和复杂性同时进行检查,因此,minlen的值并不直接代表用户设置密码的长度)。实例:通过PAM( Pluggable ...
linux PAM 用户登录认证
06-01
PAM(Pluggable Authentication Modules)是一个可插拔认证模块,用于管理 Linux 用户登录认证PAM 基于一组可编程的库,使管理员能够灵活地配置和自定义系统的身份验证方式。 当用户尝试登录系统时,PAM 将根据 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值