linux锁定账号 让其不能修改密码,Linux下锁定账号，禁止登录系统的设置总结

在我们运维工作中，会经常要求一些用户不允许登陆系统，以加固系统安全。今天这里介绍下锁定账号登陆的几种方法：

一、最常用方式，修改用户的shell类型为/sbin/nologin  (推荐使用)这种方式会更加人性化一点，因为不仅可以禁止用户登录，还可以在禁用登陆时给提示告诉它这么做的原因。修改/etc/nologin.txt，没有的话就手动新建一个，在里面添加给被禁止用户的提示(这种方式的所有用户的锁定信息都在这个文件中，在登陆时给与提示)。

如下，禁用wangshibo账号登陆系统：[root@host-192-168-1-117 ~]# useradd wangshibo[root@host-192-168-1-117 ~]# echo "123456"|passwd --stdin wangshiboChanging password for user wangshibo.passwd: all authentication tokens updated successfully.[root@host-192-168-1-117 ~]# cat /etc/passwd|grep wangshibowangshibo:x:500:500::/home/wangshibo:/bin/bash[root@host-192-168-1-117 ~]# sed -i 's#/home/wangshibo:/bin/bash#/home/wangshibo:/sbin/nologin#g' /etc/passwd[root@host-192-168-1-117 ~]# cat /etc/passwd|grep wangshibowangshibo:x:500:500::/home/wangshibo:/sbin/nologin

[root@host-192-168-1-117 ~]# touch /etc/nologin.txt[root@host-192-168-1-117 ~]# cat/etc/nologin.txtIn order to protect the system security, this type of user is locked!

现在尝试用wangshibo账号登陆系统，就会被拒绝，并给出提示信息：[ops@host-192-168-1-117 ~]$ su - wangshiboPassword: In order to protect the system security, this type of user is locked![ops@host-192-168-1-117 ~]$

解禁用户登陆就是把shell改为它原有的就可以了[root@host-192-168-1-117 ~]# cat /etc/passwd|grep wangshibowangshibo:x:500:500::/home/wangshibo:/sbin/nologin[root@host-192-168-1-117 ~]# sed -i 's#/home/wangshibo:/sbin/nologin#/home/wangshibo:/bin/bash#g' /etc/passwd[root@host-192-168-1-117 ~]# cat /etc/passwd|grep wangshibowangshibo:x:500:500::/home/wangshibo:/bin/bash

[root@host-192-168-1-117 ~]# su - ops[ops@host-192-168-1-117 ~]$ su - wangshiboPassword: [wangshibo@host-192-168-1-117 ~]$

二、修改用户配置文件/etc/shadow，将第二栏设置为“*”使用这种方式会导致该用户的密码丢失，要再次使用时，需重设密码。一般不推荐这种方式！[root@host-192-168-1-117 ~]# cat /etc/passwd|grep wangshibowangshibo:x:500:500::/home/wangshibo:/bin/bash[root@host-192-168-1-117 ~]# cat /etc/shadow|grep wangshibowangshibo:$1$0/5NU4y2$OBGISa8yaloVNYVLFCoP3.:17133::::::[root@host-192-168-1-117 ~]# cat /etc/shadow|grep wangshibo                  # 将第二栏密码设置为*wangshibo:*:17133::::::

[root@host-192-168-1-117 ~]# su - ops[ops@host-192-168-1-117 ~]$ su - wangshibo                 #不能登陆系统 Password: su: incorrect password

解禁用户登陆，需要重置密码[root@host-192-168-1-117 ~]# echo "123456"|passwd --stdin wangshiboChanging password for user wangshibo.passwd: all authentication tokens updated successfully.[root@host-192-168-1-117 ~]# cat /etc/shadow|grep wangshibowangshibo:$1$RPfkekf7$QAUGmJ0SCIb64aEvJvNif1:17133::::::[ops@host-192-168-1-117 ~]$ su - wangshiboPassword: [wangshibo@host-192-168-1-117 ~]$

三、使用命令passwdpasswd -l 用户          //锁定账号，-l:lockpasswd -u 用户        //解禁用户，-u:unlock

[root@host-192-168-1-117 ~]# passwd -l wangshiboLocking password for user wangshibo.passwd: Success

[ops@host-192-168-1-117 ~]$ su - wangshiboPassword: su: incorrect password

[root@host-192-168-1-117 ~]# passwd -u wangshiboUnlocking password for user wangshibo.passwd: Success

[ops@host-192-168-1-117 ~]$ su - wangshiboPassword: [wangshibo@host-192-168-1-117 ~]$

四、使用命令usermodusermod -L 用户     //锁定帐号，-L:lockusermod -U 用户       //解锁帐号，-U:unlock

[root@host-192-168-1-117 ~]# usermod -L wangshibo

[ops@host-192-168-1-117 ~]$ su - wangshiboPassword: su: incorrect password

[root@host-192-168-1-117 ~]# usermod -U wangshibo

[ops@host-192-168-1-117 ~]$ su - wangshiboPassword: [wangshibo@host-192-168-1-117 ~]$

五、禁止所有的用户登录(手动创建/etc/nologin文件)如果不想让除root用户之外的其他所有用户登录系统(比如在系统维护情况下)，如果按照上面的几种方式，就需要一个一个地去禁止用户登录，这就是一种很傻X的工作方式，效率也很低！

下面介绍一种简洁有效的设置方式:只需要在/etc目录下建立一个nologin文档，那么Linux上的所有用户(除了root以外)都无法登录！！[root@host-192-168-1-117 ~]# touch /etc/nologin

在/etc/nologin(注意：这可不是第一种方式中的nologin.txt)文件里面可以自定义一些内容，告诉用户为何无法登录。[root@host-192-168-1-117 ~]# cat /etc/nologin抱歉，系统维护中，暂时禁止登陆！这样，就会发现除root之外的其他用户统统无法登陆系统了。[root@linux-node2 ~]# ssh root@192.168.1.117抱歉，系统维护中，暂时禁止登陆！[root@host-192-168-1-117 ~]#

[root@linux-node2 ~]# ssh wangshibo@192.168.1.117wangshibo@192.168.1.117's password: 抱歉，系统维护中，暂时禁止登陆！Connection closed by 192.168.1.117[root@linux-node2 ~]# ssh ops@192.168.1.117ops@192.168.1.117's password: 抱歉，系统维护中，暂时禁止登陆！Connection closed by 192.168.1.117

特别注意一点：上面前四种方法的设置，锁定账号后，不仅禁止ssh登陆系统，也禁止了使用su切换到该账号下！但是第五种方法设置后，只是禁止了从外部ssh登陆本机时有效！但是在本机上使用su进行用户切换，并不受影响。[root@host-192-168-1-117 ~]# su - ops[ops@host-192-168-1-117 ~]$ su - wangshiboPassword: [wangshibo@host-192-168-1-117 ~]$

解禁帐号也简单，直接将/etc/nologin删除就行了！[root@host-192-168-1-117 ~]# rm -f /etc/nologin[root@host-192-168-1-117 ~]# ll /etc/nologinls: cannot access /etc/nologin: No such file or directory

[root@linux-node2 ~]# ssh wangshibo@192.168.1.117wangshibo@192.168.1.117's password: [wangshibo@host-192-168-1-117 ~]$