• 232阅读
  • 1回复

linux尝试登录失败后锁定用户账户的两种方法

楼层直达
这篇文章主要给大家分享了linux尝试登录失败后锁定用户账户的两种方法,分别是利用pam_tally2模块和pam_faillock 模块实现,文中通过详细的示例代码介绍的非常详细,需要的朋友可以参考借鉴,下面来一起看看吧。 5dXC  
^}ngb Dn  
本文主要给大家介绍了关于linux尝试登录失败后锁定用户账户的相关内容,分享出来供大家参考学习,下面来一起看看详细的介绍吧。 `$JPF  Z  
pam_tally2模块(方法一) $-|`#|CBd  
用于对系统进行失败的ssh登录尝试后锁定用户帐户。此模块保留已尝试访问的计数和过多的失败尝试。 J-:\^uP  
配置 [;7&E{,C  
使用/etc/pam.d/system-auth或etc/pam.d/password-auth配置文件来配置的登录尝试的访问 63#Sf$p{v  
? Hq?-e?Nc  
1 ? DWF7{1  
2 L%# #U'e3  
auth required pam_tally2.so deny=3 unlock_time=600 zF[kb%o  
account required pam_tally2.so _Jn-#du  
注意: %a{$M{s  
auth要放到第二行,不然会导致用户超过3次后也可登录。 Ob$| IH8.  
如果对root也适用在auth后添加even_deny_root. c |  
? *.#d'~+  
1 R#eY@N}\  
auth required pam_tally2.so deny=3 even_deny_root unlock_time=600 p^_2]%,QeM  
pam_tally2命令 DF|(CQs9  
查看用户登录失败的信息 ln-+=jk  
? GLrHb3@"N  
1 -$WU -7`  
2 7SOi9JU_  
3 l ?RsXC  
pam_tally2 -u test 6K501!70g6  
Login  Failures Latest failure From s{\USD6  
test  1 06/20/17 14:18:19 192.168.56.1 c@!%.# |y  
解锁用户 {,61V;Bpm  
? |zhVl  
1 vDl6TKXcu  
pam_tally2 -u test -r WfYu-TK *  
pam_faillock 模块(方法二) yzJ VU0s  
在红帽企业版 Linux 6 中, pam_faillock PAM 模块允许系统管理员锁定在指定次数内登录尝试失败的用户账户。限制用户登录尝试的次数主要是作为一个安全措施,旨在防止可能针对获取用户的账户密码的暴力破解 >S/m(98  
通过 pam_faillock 模块,将登录尝试失败的数据储存在 /var/run/faillock 目录下每位用户的独立文件中 w$%d"Jm#X  
配置 X.TsOoy  
添加以下命令行到 /etc/pam.d/system-auth 文件和/etc/pam.d/password-auth 文件中的对应区段: h^QicvZ  
? B"sQ\gb%Q  
1 ?U3X,uv5J  
2 8JYF0r7  
3 ~:8}Bz2!5  
4 yn&+ >{  
auth  required  pam_faillock.so preauth silent audit deny=3 unlock_time=600 R Ptc \4  
auth  sufficient pam_unix.so nullok try_first_pass a W1y0  
auth  [default=die] pam_faillock.so authfail audit deny=3 MBlh lMyI  
account  required  pam_faillock.so gKyYBr  
注意: ue?e}hF  
auth required pam_faillock.so preauth silent audit deny=3 必须在最前面。 _; 7{1n  
适用于root在pam_faillock 条目里添加 even_deny_root 选项 hRKAs ]^j  
faillock命令 PDwi])6mf  
查看每个用户的尝试失败次数 u7L!&/6On  
? o{C7V *  
1 o u%Xnk~  
2 }V@ * :3w8  
3 lt:xN?--A?  
4 *RPdU.  
5 4$HU=]b6Tf  
6 f=$w,^)M  
$ faillock Zq,[se'nh"  
test: 8xAxn+;  
When    Type Source           Valid }(*eRF'  
2017-06-20 14:29:05 RHOST 192.168.56.1           V 4FWL\;6  
2017-06-20 14:29:14 RHOST 192.168.56.1           V {=Z xF  
2017-06-20 14:29:17 RHOST 192.168.56.1           V Mp%.o}j   
解锁一个用户的账户 7EI5w37  
? 4Lg!54P8  
1 MKl`9 Y3Ge  
faillock --user <username> --reset %3Ba9Nmid  
总结 -k4w$0)  
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流,谢谢大家对脚本之家的支持。
 
只看该作者 安逸沙发  发表于: 2017-09-10
linux中如何添加用户并赋予root权限详解
这篇文章主要先是给大家介绍了linux中如何添加用户并赋予root权限,而后有详细的介绍了Linux系统用户组的管理,文中通过示例代码介绍的很详细,相信对大家的理解和学习具有一定的参考借鉴价值,有需要的朋友们下面来一起学习学习吧。 2 Ke?*  
Cyg\FHs  
一、linux添加用户并赋予root权限 18pi3i[  
1、添加用户,首先用adduser命令添加一个普通用户,命令如下: F7wpGtt  
? /ov&h;  
1 j()<.h;'  
2 SyFO f  
3 JJ5s |&}  
4 c8I : jDk:  
5 J fFOU!F\  
6 T> cvV  
7 !%<bLD8  
8 #I jG[a-  
#adduser eric Z&gM7Zo8  
;q&6WO  
//添加一个名为eric的用户 ?YzOA${  
#passwd eric//修改密码 AV\6K;~  
Changing password for user eric. ],l w  
New UNIX password:   //在这里输入新密码 RO(~c-fV  
Retype new UNIX password: //再次输入新密码 MYgh^%w:  
passwd: all authentication tokens updated successfully. gPs%v`y)*D  
2、赋予root权限 UV}\#86!  
方法一:修改 /etc/sudoers 文件,找到下面一行,把前面的注释(#)去掉 $I40 hk  
? =SJwCT0;  
1 =\;yxl  
2 aChyl;#E  
## Allows people in group wheel to run all commands X=O}k&  
%wheel  ALL=(ALL)  ALL z8W@N8IqC  
然后修改用户,使其属于root组(wheel),命令如下: @]$qJFXx  
? 2n}nRv/'  
1 @* a'B=7  
#usermod -g root eric oNV5su  
修改完毕,现在可以用eric帐号登录,然后用命令 su – ,即可获得root权限进行操作。 ="fq.Tt  
方法二:修改 /etc/sudoers 文件,找到下面一行,在root下面添加一行,如下所示: a o_A %?Ld  
? 3fC|}<Wzt  
1 {4u8~whLp  
2 ofe SGx  
3 +QS7F`O  
## Allow root to run any commands anywhere Qg]8~^ Q<  
root  ALL=(ALL)   ALL "X/cG9Lw  
eric  ALL=(ALL)   ALL 7/c[ f  
修改完毕,现在可以用eric帐号登录,然后用命令 sudo – ,即可获得root权限进行操作。 -OLXRc=  
方法三:强烈推荐使用此方法,修改 /etc/passwd 文件,找到如下行,把用户ID修改为 0 RfPRCIo  
如下所示: :Uu Py|>  
? Ydv\a6  
1 cE x$cZRMI  
eric:x:0:33:eric:/data/webroot:/bin/bash ?H9F"B$a  
二、Linux系统用户组的管理 {.7ve<K  
每个用户都有一个用户组,系统可以对一个用户组中的所有用户进行集中管理。 X8T7(w<0%f  
不同Linux 系统对用户组的规定有所不同, Uk5O9D0 He  
如Linux下的用户属于与它同名的用户组,这个用户组在创建用户时同时创建。 nU"V@_?\  
用户组的管理涉及用户组的添加、删除和修改。组的增加、删除和修改实际上就是对/etc/group文件的更新。 l 6.#s3I['  
1、增加一个新的用户组使用groupadd命令。 rQNT  
语法: k fx<T  
     groupadd 选项 用户组 M%7H-^{  
选项: NEQcEUd?  
     -g GID   指定新用户组的组标识号(GID)。 ki6`d?  
     -o       一般与-g选项同时使用,表示新用户组的GID可以与系统已有用户组的GID相同。 6l#1E#]|  
例1: n5_r 3{  
? )>,b>7  
1 YgaJ*%\  
$ groupadd group1 *?oQ6g(Nz  
释义: zTY|Z@:  
  此命令向系统中增加了一个新组group1,新组的组标识号是在当前已有的最大组标识号的基础上加1。 G?QFF6)}!  
例2: c< gM  
? *Kt7"J  
1 :EyH'v  
$ groupadd -g 101 group2 k=Ef)'  
释义: (~pcPGUG  
  此命令向系统中增加了一个新组group2,同时指定新组的组标识号是101。 1L'[DKb'  
2、如果要删除一个已有的用户组,使用groupdel命令. W<2%J)N<  
语法: H'I|tPs  
    groupdel 用户组 QAi(uL5   
例1: [CPZj*|b  
? -7ct+3"J  
1 U`6QD}c"s  
$ groupdel group1 QVn0!R{  
释义: O%o#CBf0  
  此命令从系统中删除组group1。 ZX-9BJ`Q  
3.修改用户组的属性使用groupmod命令。 phXVuQ  
语法: sF+0v p  
    groupmod 选项 用户组 {Y/| 7Cl0  
选项: ~Y'e1w$`  
    -g GID           为用户组指定新的组标识号。 &V=54n=O?  
    -o               与-g选项同时使用,用户组的新GID可以与系统已有用户组的GID相同。 =rBFMTllM  
    -n  新用户组     将用户组的名字改为新名字 _5`M( ;hL2  
例1: NWAF4i&$  
? ';ZJuJ.  
1 chd${ j  
$ groupmod -g 102 group2 3LXpe8$lJ  
释义: O]Kb~jkd  
此命令将组group2的组标识号修改为102。 > T-O3/KN  
例2: =d5!O~}r>  
? l?R_wu,Q  
1 DY07?x7  
$ groupmod –g 10000 -n group3 group2 }cPV_^{  
释义: 8@A[ `5  
此命令将组group2的标识号改为10000,组名修改为group3。 PaDT)RrEM  
4.如果一个用户同时属于多个用户组,那么用户可以在用户组之间切换,以便具有其他用户组的权限。 xaS  
用户可以在登录后,使用命令newgrp切换到其他用户组,这个命令的参数就是目的用户组。 )m'_>-`^:  
例如:  ~Afs  
? zh.c_>jS  
1 u#,]>;  
$ newgrp root *]eZ Y  
释义: w7D:0SGD  
这条命令将当前用户切换到root用户组,前提条件是root用户组确实是该用户的主组或附加组。 H<xC%/8  
类似于用户账号的管理,用户组的管理也可以通过集成的系统管理工具来完成。 1P[Lz!C  
总结 Vj]kJ,j\y  
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流。
快速回复

限100 字节
安逸网提示:如果您在写长篇帖子又不马上发表,建议存为草稿
 
认证码:
上一个 下一个