1.手动锁定:

  usermod  -L user 或passwd -l user  临时锁定用户(/etc/shadow 密码前加!)    

  修改密码 或 usermod -U user  可解锁;


2.被动锁定:

pam_tally2.so的PAM模块,来限定用户的登录失败次数  可以在  /etc/pam.d/{sshd,login}   中设置 


#一次登录失败就锁60秒,并非在两次登录失败后,才锁60秒,60秒过后又可重新登录,被

锁后只能是root通过faillog -u username -r 解锁.

/etc/pam.d/system-auth

auth        required     pam_tally.so deny=2 onerr=fail no_magic_root lock_time=60


3.记录已用过密码

/etc/pam.d/system-auth

password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok  remember=4


4.登录失败次回超过限制


1)锁用户的设定
/etc/pam.d/下包含各种认证程序或服务的配置文件。编辑这些可限制认证失败次数,当失败次数超过指定值时用户会被锁住。
在此,以run level为3的时候,多次登录登录失败即锁用户为例:
在/etc/pam.d/login文件中追加如下两行:
auth required /lib/security/pam_tally.so onerr=fail no_magic_root
account required /lib/security/pam_tally.so deny=3 no_magic_root reset
deny=3 设置登录失败3次就将用户锁住,该值可任意设定。
如下为全文见设定例:
auth      required pam_securetty.so
auth      required pam_stack.so service=system-auth
auth      required pam_nologin.so
auth      required pam_tally.so onerr=fail no_magic_root
account   required pam_stack.so service=system-auth
account   required pam_tally.so deny=3 no_magic_root reset
password  required pam_stack.so service=system-auth
session   required pam_stack.so service=system-auth
session   optional pam_console.so
这样当用户在run level=3的情况下登录时,/var/log/faillog会自动生成,裏面记录用户登录失败次数等信息。
可用"faillog -u 用户名"命令来查看。
当用户登录成功时,以前的登录失败信息会重置。
2)用户的解锁
用户因多次登录失败而被锁的情况下,可用faillog命令来解锁。具体如下:
faillog -u 用户名 -r
此命令实行后,faillog里记录的失败信息即被重置,用户又可用了。
关於faillog的其他命令。。参见man failog。


5,今天 登陆服务器,提示:

    

您的帐户已失效;请与系统管理员取得联系

su: 密码不正确


查看日志 /var/log/secure  ,  account o9ias has expired (account expired)


使用chage 用户名来修改帐户的有效期.
chage user1
Changing aging information for user1
Minimum Password Age [0];直接回车不变
Maximum Password Age [10000];直接回车不变
Password Expiration Qarning [-1];直接回车不变
Password Inactive [0];-1 修改
Last Password Change (YYYY-MM-DD) (2007-04-09);直接回车不变
Account Expiration Date (YYYY-MM-DD) (1970-01-01);2010-01-01 修改

然后使用user1登陆会提示密码过期修改密码,按照操作提示操作就可以了