linux修改配置文件鎖定用戶

㈠ linux嘗試登錄失敗後鎖定用戶賬戶的兩種方法

pam_tally2模塊(方法一)

用於對系統進行失敗的ssh登錄嘗試後鎖定用戶帳戶。此模塊保留已嘗試訪問的計數和過多的失敗嘗試。

配置

使用 /etc/pam.d/system-auth 或 /etc/pam.d/password-auth 配置文件來配置的登錄嘗試的訪問

注意：

auth要放到第二行，不然會導致用戶超過3次後也可登錄。

如果對root也適用在auth後添加 even_deny_root .

auth required pam_tally2.so deny=3 even_deny_root unlock_time=600

pam_tally2命令

查看用戶登錄失敗的信息

解鎖用戶

pam_faillock 模塊(方法二)

在紅帽企業版 Linux 6 中， pam_faillock PAM 模塊允許系統管理員鎖定在指定次數內登錄嘗試失敗的用戶賬戶。限制用戶登錄嘗試的次數主要是作為一個安全措施，旨在防止可能針對獲取用戶的賬戶密碼的暴力破解

通過 pam_faillock 模塊，將登錄嘗試失敗的數據儲存在 /var/run/faillock 目錄下每位用戶的獨立文件中

配置

添加以下命令行到 /etc/pam.d/system-auth 文件和 /etc/pam.d/password-auth 文件中的對應區段：

auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600

auth sufficient pam_unix.so nullok try_first_pass

auth [default=die] pam_faillock.so authfail audit deny=3

account required pam_faillock.so

注意：

auth required pam_faillock.so preauth silent audit deny=3 必須在最前面。

適用於root在 pam_faillock 條目里添加 even_deny_root 選項

faillock命令

查看每個用戶的嘗試失敗次數

$ faillock

test:

When Type Source Valid

2017-06-20 14:29:05 RHOST 192.168.56.1 V

2017-06-20 14:29:14 RHOST 192.168.56.1 V

2017-06-20 14:29:17 RHOST 192.168.56.1 V

解鎖一個用戶的賬戶

㈡ linux中哪些無關賬號需要鎖定

linux中需要鎖定賬號的情況為：

用戶在指定時間內輸入錯誤密碼的次數達到了相應的次數，賬戶鎖定策略就會將該用戶禁用。

linux對賬戶的鎖定功能比windows的要更加廣泛，強大，windows組策略中的限制，只是在系統層面的限制。

而linux藉助pam(Pluggable Authentication Moles，插件式認證模塊)的強大，不單止可以系統層面實現，還能在各中支持pam的應用中實現這種安全鎖定策略。

linux中PAM通過提供一些動態鏈接庫和一套統一的API，將系統提供的服務和該服務的認證方式分開，使得系統管理員可以靈活地根據需要給不同的服務配置不同的認證方式而無需更改服務程序，同時也便於向系統中添加新的認證手段。

PAM最初是集成在Solaris中，目前已移植到其它系統中，如Linux、SunOS、HP－UX9．0等。

PAM的配置是通過單個配置文件／etc／pam．conf。RedHat還支持另外一種配置方式，即通過配置目錄／etc／pam．d／，且這種的優先順序要高於單個配置文件的方式。

(2)linux修改配置文件鎖定用戶擴展閱讀：

在 Linux 中鎖定、解鎖和檢查給定用戶帳戶的狀態的操作：

找到同時有「password」和「pam＿unix．so」欄位並且附加有「remember＝5」的那行，它表示禁止使用最近用過的5個密碼（己使用過的密碼會被保存在／etc／security／opasswd下面）。

找到同時有「password」和「pam＿cracklib．so」欄位並且附加有「minlen＝10」的那行，它表示最小密碼長度為（10－類型數量）。這里的「類型數量」表示不同的字元類型數量。PAM提供4種類型符號作為密碼（大寫字母、小寫字母、數字和標點符號）。

如果密碼同時用上了這4種類型的符號，並且你的minlen設為10，那麼最短的密碼長度允許是6個字元。

使用配置目錄／etc／pam．d／，該目錄下的每個文件的名字對應服務名，例如ftp服務對應文件／etc／pam．d／ftp。

如果名為xxxx的服務所對應的配置文件/etc/pam.d/xxxx不存 在，則該服務將使用默認的配置文件/etc/pam.d/other。每個文件由如下格式的文本行所構成：

mole－typecontrol－flagmole－patharguments；每個欄位的含義和／etc／pam．conf中的相同。

密碼復雜度通過／etc／pam．d／system－auth這個文件來實現的。

㈢ 如何更改linux文件的擁有者及用戶組

usermod命令用於修改用戶的屬性，格式為「usermod [選項] 用戶名」。

在Linux系統中的一切都是文件，因此在系統中創建用戶也是修改配置文件的過程，用戶的信息被保存到了/etc/passwd文件中，我們可以直接用文本編輯器來修改其中的數值項目，也可以用usermod來修改已經創建的用戶信息項目，諸如用戶身份號碼、基本/擴展用戶組、默認終端等等：

參數 作用

-c 填寫帳號的備注信息

-d -m -m與-d連用，可重新指定用戶的家目錄並自動把舊的數據轉移過去。

-e 帳戶到期時間，格式「YYYY-MM-DD」

-g 變更所屬用戶組

-G 變更擴展用戶組

-L 鎖定用戶禁止其登陸系統

-U 解鎖用戶，允許其登陸系統

-s 變更默認終端

-u 修改用戶的UID

不要被這么多參數嚇壞啦~下面舉個例子我們先來看下帳戶的默認信息：

[root@linuxprobe ~]# id linuxprobe
uid=1000(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe)

我們逐一為您演示下如何為用戶增添到一個額外的擴展用戶組中，以及修改該用戶的身份號碼：

[root@linuxprobe~]# usermod -G root linuxprobe
[root@linuxprobe~]# id linuxprobe
uid=1000(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe),0(root)
[root@linuxprobe~]# usermod -u 8888 linuxprobe
[root@linuxprobe~]# id linuxprobe
uid=8888(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe),0(root)

如果還有不懂，多看看基礎《linux就該這么學》你值得擁有。