• 121阅读
  • 1回复

linux尝试登录失败后锁定用户账户的两种方法

楼层直达
这篇文章主要给大家分享了linux尝试登录失败后锁定用户账户的两种方法,分别是利用pam_tally2模块和pam_faillock 模块实现,文中通过详细的示例代码介绍的非常详细,需要的朋友可以参考借鉴,下面来一起看看吧。 >,f5 5  
H+Q_%%[N  
本文主要给大家介绍了关于linux尝试登录失败后锁定用户账户的相关内容,分享出来供大家参考学习,下面来一起看看详细的介绍吧。 t_qX7P8+'  
pam_tally2模块(方法一) / q^_ 'Lp  
用于对系统进行失败的ssh登录尝试后锁定用户帐户。此模块保留已尝试访问的计数和过多的失败尝试。 <p[RhP  
配置 r6 kQMFA  
使用/etc/pam.d/system-auth或etc/pam.d/password-auth配置文件来配置的登录尝试的访问 4 rD&Lg'  
? hxGo~<. :  
1 Bc}e ??F  
2 ; $UB@)7%  
auth required pam_tally2.so deny=3 unlock_time=600 !1P<A1K  
account required pam_tally2.so ~P9^4  
注意: O! w&3 p  
auth要放到第二行,不然会导致用户超过3次后也可登录。 Qa1G0qMEIF  
如果对root也适用在auth后添加even_deny_root. P2 +^7x?  
? Q5;EQ .#  
1 gn[h:+H&  
auth required pam_tally2.so deny=3 even_deny_root unlock_time=600 r7v 1q  
pam_tally2命令 #F+b^WTR  
查看用户登录失败的信息 fJn4'Q*U  
? wE_#b\$=b  
1 @oFuX.  
2 $P Tl{  
3 \Qz  
pam_tally2 -u test n Ayyjd3!S  
Login  Failures Latest failure From Il!#]  
test  1 06/20/17 14:18:19 192.168.56.1 TzsNhrU{  
解锁用户 Yd<q4VJR  
? 1!2,K ot  
1 yzz(<s:o/  
pam_tally2 -u test -r vrXNa8,L  
pam_faillock 模块(方法二) -}Gk@=$G  
在红帽企业版 Linux 6 中, pam_faillock PAM 模块允许系统管理员锁定在指定次数内登录尝试失败的用户账户。限制用户登录尝试的次数主要是作为一个安全措施,旨在防止可能针对获取用户的账户密码的暴力破解 ~)!vhdBe  
通过 pam_faillock 模块,将登录尝试失败的数据储存在 /var/run/faillock 目录下每位用户的独立文件中 IaRq6=[  
配置 {I QCA-AI  
添加以下命令行到 /etc/pam.d/system-auth 文件和/etc/pam.d/password-auth 文件中的对应区段: @ {8x L  
? OyTp^W`&  
1 Y_M3-H=0  
2 J ?H| "  
3 |FZIUS{]  
4 <>[]- Vq  
auth  required  pam_faillock.so preauth silent audit deny=3 unlock_time=600 mV'^4by  
auth  sufficient pam_unix.so nullok try_first_pass 8f-B-e?k  
auth  [default=die] pam_faillock.so authfail audit deny=3 WJw %[_W  
account  required  pam_faillock.so \ dZD2e4  
注意: r!O4]j_3  
auth required pam_faillock.so preauth silent audit deny=3 必须在最前面。 /Wm3qlv  
适用于root在pam_faillock 条目里添加 even_deny_root 选项 ScTeh  
faillock命令 e{`DvfY21  
查看每个用户的尝试失败次数 >[TJ-%V>oR  
? jxA*Gg3cT5  
1 /mFa*~dj2  
2 mi$*,fz  
3 3']=w@~ O[  
4 xouy|Nn'  
5 _;`g*Kx  
6 **lT ' D  
$ faillock 8i?h{G IMV  
test: ttC+`0+H  
When    Type Source           Valid dFVm18  
2017-06-20 14:29:05 RHOST 192.168.56.1           V 7BDoF!kCx  
2017-06-20 14:29:14 RHOST 192.168.56.1           V Rt10:9Kz$  
2017-06-20 14:29:17 RHOST 192.168.56.1           V vx8-~Oq{|;  
解锁一个用户的账户 v22ZwP  
? A('_.J=  
1 &fYV FRVkq  
faillock --user <username> --reset ^%r>f@h!L  
总结 }c~o3t(7`b  
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流,谢谢大家对脚本之家的支持。
 
只看该作者 安逸沙发  发表于: 09-10
linux中如何添加用户并赋予root权限详解
这篇文章主要先是给大家介绍了linux中如何添加用户并赋予root权限,而后有详细的介绍了Linux系统用户组的管理,文中通过示例代码介绍的很详细,相信对大家的理解和学习具有一定的参考借鉴价值,有需要的朋友们下面来一起学习学习吧。 *-&+;|mM  
zFr#j~L"  
一、linux添加用户并赋予root权限 EKUiX#p: M  
1、添加用户,首先用adduser命令添加一个普通用户,命令如下: r` sG!  
? )O8w'4P5  
1 I:M15  
2 sj&1I.@,>  
3 ]f6,4[  
4 Nk<H=kw+  
5 yJdkDVxYr  
6 zh5ovA%  
7 cvC 7#i[G  
8 x,c\q$8yH  
#adduser eric K@?K4o   
cRWYS[O?-  
//添加一个名为eric的用户 QtLd(& !v  
#passwd eric//修改密码 Y?%=6S  
Changing password for user eric. (8(P12l  
New UNIX password:   //在这里输入新密码 .SDE6nvbW  
Retype new UNIX password: //再次输入新密码 f.:0T&%G  
passwd: all authentication tokens updated successfully. TVK*l*  
2、赋予root权限 fr&K^je\  
方法一:修改 /etc/sudoers 文件,找到下面一行,把前面的注释(#)去掉 d~y]7h|  
? $PMD$c  
1 =<Ss&p>  
2 :/6u*HwZh  
## Allows people in group wheel to run all commands C#. 27ah  
%wheel  ALL=(ALL)  ALL B-wF1! Jv  
然后修改用户,使其属于root组(wheel),命令如下: ?>mpUH  
?  dK]#..  
1 (R!`Z%  
#usermod -g root eric H<   
修改完毕,现在可以用eric帐号登录,然后用命令 su – ,即可获得root权限进行操作。 foe)_  
方法二:修改 /etc/sudoers 文件,找到下面一行,在root下面添加一行,如下所示: 0QBK(_O`  
? Mlo:\ST|  
1 k;HI-v  
2 1$ENNq#0  
3  /EwNMU*6  
## Allow root to run any commands anywhere {?X9juc/#  
root  ALL=(ALL)   ALL 8O0]hz  
eric  ALL=(ALL)   ALL  @4>?Y=#  
修改完毕,现在可以用eric帐号登录,然后用命令 sudo – ,即可获得root权限进行操作。 IeB^BD+j  
方法三:强烈推荐使用此方法,修改 /etc/passwd 文件,找到如下行,把用户ID修改为 0 ' &Tz8.jp~  
如下所示: 7lAnGP.;  
? rGzGbI=  
1 8< z   
eric:x:0:33:eric:/data/webroot:/bin/bash \o5/, C  
二、Linux系统用户组的管理 O>IG7Ujl  
每个用户都有一个用户组,系统可以对一个用户组中的所有用户进行集中管理。 vH@b  
不同Linux 系统对用户组的规定有所不同, Se [>z(  
如Linux下的用户属于与它同名的用户组,这个用户组在创建用户时同时创建。 :V#B]:Z9  
用户组的管理涉及用户组的添加、删除和修改。组的增加、删除和修改实际上就是对/etc/group文件的更新。 c  
1、增加一个新的用户组使用groupadd命令。 1t7T\~ +F  
语法: o3.b='HAm  
     groupadd 选项 用户组 rR(\fX!dg  
选项: Q'rX]kk_  
     -g GID   指定新用户组的组标识号(GID)。 l'?(4 N  
     -o       一般与-g选项同时使用,表示新用户组的GID可以与系统已有用户组的GID相同。 @Dd3mWKq  
例1: .FvIT] k-  
? :D:J_{HJ  
1 _:G>bU/^  
$ groupadd group1 ^F-AZP /5F  
释义: <4*)J9V^s=  
  此命令向系统中增加了一个新组group1,新组的组标识号是在当前已有的最大组标识号的基础上加1。 4iJ4g%]  
例2: NZuylQ)0  
? _p%@x:\  
1 UL3u2g;d  
$ groupadd -g 101 group2 =Ct$!uun  
释义: |L6 +e *  
  此命令向系统中增加了一个新组group2,同时指定新组的组标识号是101。 D#11 N^-K  
2、如果要删除一个已有的用户组,使用groupdel命令. 1Pd2%  
语法: )"s(;kU!  
    groupdel 用户组 cB7'>L  
例1: l6-%)6u>  
? nb(Od,L  
1 ]Waa7)}DM  
$ groupdel group1 i",oPz7  
释义: z_87 ;y;=  
  此命令从系统中删除组group1。 9j$J}=y  
3.修改用户组的属性使用groupmod命令。 II(P  
语法: C oO0~q  
    groupmod 选项 用户组 \`YV)"y" ~  
选项:  -to3I  
    -g GID           为用户组指定新的组标识号。 7G23D  
    -o               与-g选项同时使用,用户组的新GID可以与系统已有用户组的GID相同。 n<MreKixE  
    -n  新用户组     将用户组的名字改为新名字 X1GM\*BE  
例1: 0zXF{5Up  
? _Zbgmasb  
1 ^vo]bq7  
$ groupmod -g 102 group2 ?yAjxoE~?  
释义: 3!u:*ibt  
此命令将组group2的组标识号修改为102。 'h;x>r  
例2: qr?RU .W  
? >Q|S#(c  
1 W.  p'T}2  
$ groupmod –g 10000 -n group3 group2 jUy$aGX  
释义: >w|2 ~oK  
此命令将组group2的标识号改为10000,组名修改为group3。 X8(WsN  
4.如果一个用户同时属于多个用户组,那么用户可以在用户组之间切换,以便具有其他用户组的权限。 f=nVK4DuZ  
用户可以在登录后,使用命令newgrp切换到其他用户组,这个命令的参数就是目的用户组。 iFaC[(1@a  
例如: 2R`}}4<Z  
? n}4Lq^$  
1 rfhvdwwD  
$ newgrp root vaj-|&  
释义: +zSdP2s  
这条命令将当前用户切换到root用户组,前提条件是root用户组确实是该用户的主组或附加组。 bd3q207>  
类似于用户账号的管理,用户组的管理也可以通过集成的系统管理工具来完成。 *\F,?yU  
总结 %1e{"_$O9  
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流。
快速回复

限100 字节
安逸网提示:如果您在写长篇帖子又不马上发表,建议存为草稿
 
认证码:
上一个 下一个