• 39阅读
  • 1回复

linux尝试登录失败后锁定用户账户的两种方法

楼层直达
这篇文章主要给大家分享了linux尝试登录失败后锁定用户账户的两种方法,分别是利用pam_tally2模块和pam_faillock 模块实现,文中通过详细的示例代码介绍的非常详细,需要的朋友可以参考借鉴,下面来一起看看吧。 Kn$t_7AF^  
OU` !c[O  
本文主要给大家介绍了关于linux尝试登录失败后锁定用户账户的相关内容,分享出来供大家参考学习,下面来一起看看详细的介绍吧。 H ABUf^~-  
pam_tally2模块(方法一) Xk!{UxQKQ  
用于对系统进行失败的ssh登录尝试后锁定用户帐户。此模块保留已尝试访问的计数和过多的失败尝试。 H/`@6, j  
配置 ye(av&Hn  
使用/etc/pam.d/system-auth或etc/pam.d/password-auth配置文件来配置的登录尝试的访问 *ze/$vz-  
? WU=EJY}#n  
1 )$1j"mV  
2 .KG9YGL#  
auth required pam_tally2.so deny=3 unlock_time=600 A`~?2LH,~F  
account required pam_tally2.so GMZ6 dK  
注意: lxZ9y  
auth要放到第二行,不然会导致用户超过3次后也可登录。 tUJe-3,  
如果对root也适用在auth后添加even_deny_root. T1RY1hb|g>  
? JXww_e[  
1 HLthVc w  
auth required pam_tally2.so deny=3 even_deny_root unlock_time=600 jR:\D_:  
pam_tally2命令 R)N^j'R~=  
查看用户登录失败的信息 !"/"Mqs3$  
? DfGq m-c  
1 m@I}$  
2 ZvXw#0)v  
3 QTF1~A\  
pam_tally2 -u test "g"%7jK  
Login  Failures Latest failure From F#Pn]  
test  1 06/20/17 14:18:19 192.168.56.1 IcqzMm b  
解锁用户 =d~pr:.F  
? #/9Y}2G|]  
1 ; %AgKgV  
pam_tally2 -u test -r # ax% n  
pam_faillock 模块(方法二) 2RqV\Jik  
在红帽企业版 Linux 6 中, pam_faillock PAM 模块允许系统管理员锁定在指定次数内登录尝试失败的用户账户。限制用户登录尝试的次数主要是作为一个安全措施,旨在防止可能针对获取用户的账户密码的暴力破解 I_?R(V[9  
通过 pam_faillock 模块,将登录尝试失败的数据储存在 /var/run/faillock 目录下每位用户的独立文件中 DBu8}2R  
配置 FW3E UC)P  
添加以下命令行到 /etc/pam.d/system-auth 文件和/etc/pam.d/password-auth 文件中的对应区段: c":2<:D&  
? N48X[Q*  
1 ^*y 1Fn0  
2 ?hp,h3s;n$  
3 _\@zq*E  
4 - ?  i  
auth  required  pam_faillock.so preauth silent audit deny=3 unlock_time=600 NVom6K  
auth  sufficient pam_unix.so nullok try_first_pass  0,#n_"  
auth  [default=die] pam_faillock.so authfail audit deny=3 J*%IvRg  
account  required  pam_faillock.so 0x&L'&SpN  
注意: [oXr6M:  
auth required pam_faillock.so preauth silent audit deny=3 必须在最前面。 NP!LBB)=Y  
适用于root在pam_faillock 条目里添加 even_deny_root 选项 w&hCt c  
faillock命令 4] u\5K-  
查看每个用户的尝试失败次数 ='e_9b\K  
? ET*:iioP  
1 B1Z;  
2 ;D(6Gy9~  
3 4zOFu/l6R  
4 ;c@B+RquR  
5 !"F8jA}  
6 *u[@C  
$ faillock 9D?JzTsyg  
test: G 40  
When    Type Source           Valid ,a0RI<D  
2017-06-20 14:29:05 RHOST 192.168.56.1           V !bX   
2017-06-20 14:29:14 RHOST 192.168.56.1           V 3n_t^=  
2017-06-20 14:29:17 RHOST 192.168.56.1           V w`/~y   
解锁一个用户的账户 ]4FAbY2'h  
? <c,iu{:  
1 xHkxrXqeI  
faillock --user <username> --reset Q[T)jo,j%  
总结 |k: FNu]C  
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流,谢谢大家对脚本之家的支持。
 
只看该作者 安逸沙发  发表于: 09-10
linux中如何添加用户并赋予root权限详解
这篇文章主要先是给大家介绍了linux中如何添加用户并赋予root权限,而后有详细的介绍了Linux系统用户组的管理,文中通过示例代码介绍的很详细,相信对大家的理解和学习具有一定的参考借鉴价值,有需要的朋友们下面来一起学习学习吧。 d#wVLmKZ  
sDV Q#}a  
一、linux添加用户并赋予root权限 ddR>7d}N  
1、添加用户,首先用adduser命令添加一个普通用户,命令如下:  9gZ$   
? NGWxN8P6  
1 Y <qm{e  
2 +nGAz{&@r%  
3 NaCy@  
4 CJI~_3+K  
5 RpYERAgT  
6 -Y;3I00(  
7 7t_^8I%[  
8 7"xd1l?zz  
#adduser eric xn|(9#1o  
;6hOx(>`=  
//添加一个名为eric的用户 '[O;zJN;  
#passwd eric//修改密码 W`*r>`krVJ  
Changing password for user eric. dGTsc/$  
New UNIX password:   //在这里输入新密码 pFz`}?c0  
Retype new UNIX password: //再次输入新密码 F1Bq$*'N$w  
passwd: all authentication tokens updated successfully. fLAw12;^  
2、赋予root权限 8kDp_s i  
方法一:修改 /etc/sudoers 文件,找到下面一行,把前面的注释(#)去掉 ib791  
?  qA5r  
1 QoH6  
2 8Kk(8a&v  
## Allows people in group wheel to run all commands {3vNPQJ  
%wheel  ALL=(ALL)  ALL t}tEvh  
然后修改用户,使其属于root组(wheel),命令如下: R]*K:~DM  
? 2WYPO"q  
1 zjoq6  
#usermod -g root eric Y,zxbXZv'5  
修改完毕,现在可以用eric帐号登录,然后用命令 su – ,即可获得root权限进行操作。 ~zNAbaC+>t  
方法二:修改 /etc/sudoers 文件,找到下面一行,在root下面添加一行,如下所示: mvT(.R ..s  
? t |A-9^t'!  
1 hSyql  
2 xAMW-eF?d  
3 8X)Y^uGGZ  
## Allow root to run any commands anywhere ]1pIj i[  
root  ALL=(ALL)   ALL _X"N1,0  
eric  ALL=(ALL)   ALL ut/=R !(K  
修改完毕,现在可以用eric帐号登录,然后用命令 sudo – ,即可获得root权限进行操作。 7,9=uk>0\  
方法三:强烈推荐使用此方法,修改 /etc/passwd 文件,找到如下行,把用户ID修改为 0 b |p)9&^r  
如下所示: 'o>B'$  
? e@* EzvO  
1 yx&51G$  
eric:x:0:33:eric:/data/webroot:/bin/bash H{?vbqQ  
二、Linux系统用户组的管理 MC:@U~}6  
每个用户都有一个用户组,系统可以对一个用户组中的所有用户进行集中管理。 Ay w ;N  
不同Linux 系统对用户组的规定有所不同, D}8[bWF  
如Linux下的用户属于与它同名的用户组,这个用户组在创建用户时同时创建。 Y^}Z>  
用户组的管理涉及用户组的添加、删除和修改。组的增加、删除和修改实际上就是对/etc/group文件的更新。 Xe:jAkDp  
1、增加一个新的用户组使用groupadd命令。 dS!:JO27  
语法: oO|KEY(  
     groupadd 选项 用户组 @ljA  
选项: 7gvnl~C(  
     -g GID   指定新用户组的组标识号(GID)。 vMt/u?oB  
     -o       一般与-g选项同时使用,表示新用户组的GID可以与系统已有用户组的GID相同。 Hmd] FC,_  
例1: {kCw+eXn?  
? TKY*`?ct  
1 L> 9V&\  
$ groupadd group1 UU mTOJr  
释义: oe |)oTv  
  此命令向系统中增加了一个新组group1,新组的组标识号是在当前已有的最大组标识号的基础上加1。 1[qLA!+  
例2: ?_$=l1vf  
? X;B\Kj`n  
1 (m.ob+D  
$ groupadd -g 101 group2 V9( @Y  
释义: r>"   
  此命令向系统中增加了一个新组group2,同时指定新组的组标识号是101。 'wI"Bo6e  
2、如果要删除一个已有的用户组,使用groupdel命令. IOoz^/'  
语法: =p?WBZT|:  
    groupdel 用户组 I8/DR z$A  
例1: H nUYqhZS  
? 6290ZNvr  
1 ZAUQJS 91E  
$ groupdel group1  2KN6}  
释义: {h2TD P  
  此命令从系统中删除组group1。 & jczO-R^  
3.修改用户组的属性使用groupmod命令。 o{EC&-  
语法: =;|QZ"%E  
    groupmod 选项 用户组 HJ[/|NZU$  
选项: TsUOpEuX  
    -g GID           为用户组指定新的组标识号。 .8uz 6~  
    -o               与-g选项同时使用,用户组的新GID可以与系统已有用户组的GID相同。 P^Q[-e{  
    -n  新用户组     将用户组的名字改为新名字 ZBG}3Z   
例1: qG/fE'(j&  
? J5[~LZKW  
1 70Yjv 1i  
$ groupmod -g 102 group2 j! NO|&k  
释义: Yy JPHw)Z  
此命令将组group2的组标识号修改为102。 )Vk6;__  
例2: Q U F$@)A  
? +wk`;0sA  
1 6V+ qnUk  
$ groupmod –g 10000 -n group3 group2 "$5\,  
释义: 5[9 bWB{  
此命令将组group2的标识号改为10000,组名修改为group3。 0ZPV' `KGp  
4.如果一个用户同时属于多个用户组,那么用户可以在用户组之间切换,以便具有其他用户组的权限。 6ZqgY1  
用户可以在登录后,使用命令newgrp切换到其他用户组,这个命令的参数就是目的用户组。 :y,v&Kk#T  
例如: cQZ652F9  
? "x&C5l}n  
1 dow^*{fqZ  
$ newgrp root 4*UP. r@  
释义: ~j,TVY  
这条命令将当前用户切换到root用户组,前提条件是root用户组确实是该用户的主组或附加组。 RyRqH:p)3  
类似于用户账号的管理,用户组的管理也可以通过集成的系统管理工具来完成。 .{N\<01  
总结 $ WFhBak8  
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流。
快速回复

限100 字节
安逸网提示:批量上传需要先选择文件,再选择上传
 
认证码:
上一个 下一个