linux修改配置文件锁定用户

㈠ linux尝试登录失败后锁定用户账户的两种方法

pam_tally2模块(方法一)

用于对系统进行失败的ssh登录尝试后锁定用户帐户。此模块保留已尝试访问的计数和过多的失败尝试。

配置

使用 /etc/pam.d/system-auth 或 /etc/pam.d/password-auth 配置文件来配置的登录尝试的访问

注意：

auth要放到第二行，不然会导致用户超过3次后也可登录。

如果对root也适用在auth后添加 even_deny_root .

auth required pam_tally2.so deny=3 even_deny_root unlock_time=600

pam_tally2命令

查看用户登录失败的信息

解锁用户

pam_faillock 模块(方法二)

在红帽企业版 Linux 6 中， pam_faillock PAM 模块允许系统管理员锁定在指定次数内登录尝试失败的用户账户。限制用户登录尝试的次数主要是作为一个安全措施，旨在防止可能针对获取用户的账户密码的暴力破解

通过 pam_faillock 模块，将登录尝试失败的数据储存在 /var/run/faillock 目录下每位用户的独立文件中

配置

添加以下命令行到 /etc/pam.d/system-auth 文件和 /etc/pam.d/password-auth 文件中的对应区段：

auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600

auth sufficient pam_unix.so nullok try_first_pass

auth [default=die] pam_faillock.so authfail audit deny=3

account required pam_faillock.so

注意：

auth required pam_faillock.so preauth silent audit deny=3 必须在最前面。

适用于root在 pam_faillock 条目里添加 even_deny_root 选项

faillock命令

查看每个用户的尝试失败次数

$ faillock

test:

When Type Source Valid

2017-06-20 14:29:05 RHOST 192.168.56.1 V

2017-06-20 14:29:14 RHOST 192.168.56.1 V

2017-06-20 14:29:17 RHOST 192.168.56.1 V

解锁一个用户的账户

㈡ linux中哪些无关账号需要锁定

linux中需要锁定账号的情况为：

用户在指定时间内输入错误密码的次数达到了相应的次数，账户锁定策略就会将该用户禁用。

linux对账户的锁定功能比windows的要更加广泛，强大，windows组策略中的限制，只是在系统层面的限制。

而linux借助pam(Pluggable Authentication Moles，插件式认证模块)的强大，不单止可以系统层面实现，还能在各中支持pam的应用中实现这种安全锁定策略。

linux中PAM通过提供一些动态链接库和一套统一的API，将系统提供的服务和该服务的认证方式分开，使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序，同时也便于向系统中添加新的认证手段。

PAM最初是集成在Solaris中，目前已移植到其它系统中，如Linux、SunOS、HP－UX9．0等。

PAM的配置是通过单个配置文件／etc／pam．conf。RedHat还支持另外一种配置方式，即通过配置目录／etc／pam．d／，且这种的优先级要高于单个配置文件的方式。

(2)linux修改配置文件锁定用户扩展阅读：

在 Linux 中锁定、解锁和检查给定用户帐户的状态的操作：

找到同时有“password”和“pam＿unix．so”字段并且附加有“remember＝5”的那行，它表示禁止使用最近用过的5个密码（己使用过的密码会被保存在／etc／security／opasswd下面）。

找到同时有“password”和“pam＿cracklib．so”字段并且附加有“minlen＝10”的那行，它表示最小密码长度为（10－类型数量）。这里的“类型数量”表示不同的字符类型数量。PAM提供4种类型符号作为密码（大写字母、小写字母、数字和标点符号）。

如果密码同时用上了这4种类型的符号，并且你的minlen设为10，那么最短的密码长度允许是6个字符。

使用配置目录／etc／pam．d／，该目录下的每个文件的名字对应服务名，例如ftp服务对应文件／etc／pam．d／ftp。

如果名为xxxx的服务所对应的配置文件/etc/pam.d/xxxx不存 在，则该服务将使用默认的配置文件/etc/pam.d/other。每个文件由如下格式的文本行所构成：

mole－typecontrol－flagmole－patharguments；每个字段的含义和／etc／pam．conf中的相同。

密码复杂度通过／etc／pam．d／system－auth这个文件来实现的。

㈢ 如何更改linux文件的拥有者及用户组

usermod命令用于修改用户的属性，格式为“usermod [选项] 用户名”。

在Linux系统中的一切都是文件，因此在系统中创建用户也是修改配置文件的过程，用户的信息被保存到了/etc/passwd文件中，我们可以直接用文本编辑器来修改其中的数值项目，也可以用usermod来修改已经创建的用户信息项目，诸如用户身份号码、基本/扩展用户组、默认终端等等：

参数 作用

-c 填写帐号的备注信息

-d -m -m与-d连用，可重新指定用户的家目录并自动把旧的数据转移过去。

-e 帐户到期时间，格式“YYYY-MM-DD”

-g 变更所属用户组

-G 变更扩展用户组

-L 锁定用户禁止其登陆系统

-U 解锁用户，允许其登陆系统

-s 变更默认终端

-u 修改用户的UID

不要被这么多参数吓坏啦~下面举个例子我们先来看下帐户的默认信息：

[root@linuxprobe ~]# id linuxprobe
uid=1000(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe)

我们逐一为您演示下如何为用户增添到一个额外的扩展用户组中，以及修改该用户的身份号码：

[root@linuxprobe~]# usermod -G root linuxprobe
[root@linuxprobe~]# id linuxprobe
uid=1000(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe),0(root)
[root@linuxprobe~]# usermod -u 8888 linuxprobe
[root@linuxprobe~]# id linuxprobe
uid=8888(linuxprobe) gid=1000(linuxprobe) groups=1000(linuxprobe),0(root)

如果还有不懂，多看看基础《linux就该这么学》你值得拥有。