系统安全加固中,我们经常要在WIN和UNIX中经常要设定失败登录尝试次数,当达到指定的次数后,系统禁止该用户登录;如果是WIN平台,由于失败登录而被锁定的账户过一段时间后会自动解锁(由相关参数设定);而AIX平台似乎没有自动解锁这一特性,如果涉及到信息采集,这种情况下用户被锁的可能性特别大。
下面介绍如何设定登陆次数和锁定用户。
1.设定unsuccessfulloginattempts值
方法一
用Smittychuser把user1属性
NumberofFAILEDLOGINSbeforeuseraccountislocked设定为3
方法二
也可以用命令行来实现
#chuserloginretries=3user1
检查该用户属性
#lsuser-fuser1
user1:
loginretries=3
pwdwarntime=0
account_locked=false
2.尝试使用错误密码登录
尝试用错误密码登录3次后提示失败登录尝试达到限定的阈值,禁止登录
3.检查失败登录次数
检查失败登录次数可以用lsuser查看
#lsuser-fuser1
user1:
loginretries=3
pwdwarntime=0
account_locked=false
host_last_login=192.168.1.2
host_last_unsuccessful_login=192.168.1.2
unsuccessful_login_count=4
或者直接浏览/etc/security/lastlog,定位到user1所在行
#cat/etc/security/lastlog
user1:
time_last_login=1262968379
tty_last_login=/dev/pts/4
host_last_login=192.168.1.2
unsuccessful_login_count=4
4、尝试通过su–来切换到user1
成功。可见即使账户锁定,依然可以用su–来切换到被锁定的账户
5、登陆次数失败账户解锁
方法一
通过SMITTYUSERS来解锁USER1
选择ResetUser'sFailedLoginCount,在username栏输入user1
方法二
通过修改etc/security/lastlog中unsuccessful_login_count的值来进行行解锁
vi/etc/security/lastlog,将unsuccessful_login_count=X改为0即可
登录成功
6、手工锁定/解锁用户
方法一、smituser->lock/unlockauser’saccount->isthisuseraccountlocked?设为true则锁定,false解锁。
方法二、
/etc/security/userr文件中该用户的account_locked属性
7、设定其它属性
Smitchuser还有一些其它选项,如
Numberofpasswordsbeforeresuser:重复密码次数
Weeksbeforepasswordreuser:密码可以重复的周数
Passwordmaxiage:密码生命,0为无限
Passwordminlength:最小长度
Hardfilesize:硬盘磁盘配额