这篇文章主要给大家分享了linux尝试登录失败后锁定用户账户的两种方法，分别是利用pam_tally2模块和pam_faillock 模块实现，文中通过详细的示例代码介绍的非常详细，需要的朋友可以参考借鉴，下面来一起看看吧。 zG)XB*c  
FrXFm+8 F  
本文主要给大家介绍了关于linux尝试登录失败后锁定用户账户的相关内容，分享出来供大家参考学习，下面来一起看看详细的介绍吧。 )pELCk  
pam_tally2模块(方法一) ernZfd{H  
用于对系统进行失败的ssh登录尝试后锁定用户帐户。此模块保留已尝试访问的计数和过多的失败尝试。 g_'F(An  
配置 i Lr*W#E  
使用/etc/pam.d/system-auth或etc/pam.d/password-auth配置文件来配置的登录尝试的访问 -XNjyXm2  
? 78a!@T1#  
1 S ykblP37  
2 Hjl{M>z  
auth required pam_tally2.so deny=3 unlock_time=600 . !gkJ  
account required pam_tally2.so my+y<C-o`  
注意： i$MYR @  
auth要放到第二行，不然会导致用户超过3次后也可登录。 l"9.zPvT<  
如果对root也适用在auth后添加even_deny_root. 4?Mb>\n%<^  
? =R+z\`2  
1 eteq Mg}M  
auth required pam_tally2.so deny=3 even_deny_root unlock_time=600 #H]b Xr  
pam_tally2命令 ] Tc!=SV  
查看用户登录失败的信息 (S~|hk^  
? We7~tkl(  
1 jET$wKw%  
2 C'~K amS  
3 NpS*]vSO  
pam_tally2 -u test 9rhIDA(wc  
Login  Failures Latest failure From %3v:c|r  
test  1 06/20/17 14:18:19 192.168.56.1 u$T`Bn  
解锁用户 vfb~S~|U6g  
? >:5^4/fo*  
1 w&6c`az8  
pam_tally2 -u test -r i21ybXA=Z  
pam_faillock 模块(方法二) Q)"L8v v  
在红帽企业版 Linux 6 中， pam_faillock PAM 模块允许系统管理员锁定在指定次数内登录尝试失败的用户账户。限制用户登录尝试的次数主要是作为一个安全措施，旨在防止可能针对获取用户的账户密码的暴力破解 U}
9B wr^  
通过 pam_faillock 模块，将登录尝试失败的数据储存在 /var/run/faillock 目录下每位用户的独立文件中 t\[aU\4-7  
配置 <28L\pdG`  
添加以下命令行到 /etc/pam.d/system-auth 文件和/etc/pam.d/password-auth 文件中的对应区段： P38D-fLq  
? )Z
kQWiP-  
1 >s\j/yM  
2 TF)OBN~/  
3 4JlB\8rc  
4 @S3G>i  
auth  required  pam_faillock.so preauth silent audit deny=3 unlock_time=600 n}8J-/(|+  
auth  sufficient pam_unix.so nullok try_first_pass ym,UJs&
 
auth  [default=die] pam_faillock.so authfail audit deny=3 ~b}@*fq  
account  required  pam_faillock.so }*+?1kv  
注意： .r~!d|
  
auth required pam_faillock.so preauth silent audit deny=3 必须在最前面。 J\iyc,M<M  
适用于root在pam_faillock 条目里添加 even_deny_root 选项 vB0O3]  
faillock命令 RfP>V/jy5  
查看每个用户的尝试失败次数 rDNz<{evj  
? %vPs38Fks  
1 p"9
a`/  
2 i?R+Ul`Q  
3 RhM]OJd'  
4 }kg?A o
o  
5 l#P)9$%  
6 _is<.&f6  
$ faillock e|:#Y^  
test: #E`-b9Q  
When    Type Source           Valid (17%/80-J  
2017-06-20 14:29:05 RHOST 192.168.56.1           V bH}6N>Fp  
2017-06-20 14:29:14 RHOST 192.168.56.1           V ` aTkIo:ms  
2017-06-20 14:29:17 RHOST 192.168.56.1           V H\A!oB,sw  
解锁一个用户的账户 7Mxw0J  
? VO ^[7Y  
1 g+8j$w}  
faillock --user <username> --reset y=y=W5#;77  
总结 mQt';|X@  
以上就是这篇文章的全部内容了，希望本文的内容对大家的学习或者工作能带来一定的帮助，如果有疑问大家可以留言交流，谢谢大家对脚本之家的支持。

这篇文章主要先是给大家介绍了linux中如何添加用户并赋予root权限，而后有详细的介绍了Linux系统用户组的管理，文中通过示例代码介绍的很详细，相信对大家的理解和学习具有一定的参考借鉴价值，有需要的朋友们下面来一起学习学习吧。 {<r`5  
ij!*CTG  
一、linux添加用户并赋予root权限 n{3|E3  
1、添加用户，首先用adduser命令添加一个普通用户，命令如下： C-&#r."L  
? =:
;YTi
e  
1 7fU
i?41XA  
2 )#Y|ngZ_>  
3 @ E >eq.m  
4 unpfA#&!"  
5 b~F!.^7Q  
6 XQ4dohGCP  
7 B JU*`Tx  
8 JTjzT2`A.  
#adduser eric  K
zIt  
n|J
.)E.  
//添加一个名为eric的用户 C CLfvex  
#passwd eric//修改密码 WT I'O  
Changing password for user eric. .0?ss0~  
New UNIX password:   //在这里输入新密码 'T6B_9GQ8  
Retype new UNIX password: //再次输入新密码 B#;s(O  
passwd: all authentication tokens updated successfully. >aX:gN  
2、赋予root权限 M^Q&A R'F  
方法一：修改 /etc/sudoers 文件，找到下面一行，把前面的注释（#）去掉 Z#srQD3].(  
? 8+=p8e~An  
1 fmatc#G  
2 D>psh-,1  
## Allows people in group wheel to run all commands ]JkpRaP$  
%wheel  ALL=(ALL)  ALL 0G+L1a-  
然后修改用户，使其属于root组（wheel），命令如下： N02zPC 8  
? 2<p5_4"-U*  
1 <\qY" .`  
#usermod -g root eric xc:`}4  
修改完毕，现在可以用eric帐号登录，然后用命令 su – ，即可获得root权限进行操作。 uzat."`d'  
方法二：修改 /etc/sudoers 文件，找到下面一行，在root下面添加一行，如下所示： <=B1"'\  
? &!H~bzg  
1 ^bZ<9}  
2 Hsd|ka$x>  
3 *K0j5dx  
## Allow root to run any commands anywhere H]T2$'U6  
root  ALL=(ALL)   ALL e/m'a|%:  
eric  ALL=(ALL)   ALL Yc. ~qmG/z  
修改完毕，现在可以用eric帐号登录，然后用命令 sudo – ，即可获得root权限进行操作。 "-~D!{rS  
方法三：强烈推荐使用此方法，修改 /etc/passwd 文件，找到如下行，把用户ID修改为 0 Xr  
如下所示： u"Hd55"&  
? T_YMM'`  
1 q;Ar&VrlNq  
eric:x:0:33:eric:/data/webroot:/bin/bash utFcFdX  
二、Linux系统用户组的管理 qxg7cj2  
每个用户都有一个用户组，系统可以对一个用户组中的所有用户进行集中管理。 I;kUG_c(4  
不同Linux 系统对用户组的规定有所不同， OyG_thX  
如Linux下的用户属于与它同名的用户组，这个用户组在创建用户时同时创建。 {Vt^Xc  
用户组的管理涉及用户组的添加、删除和修改。组的增加、删除和修改实际上就是对/etc/group文件的更新。 =ihoVA:|  
1、增加一个新的用户组使用groupadd命令。 k:+)$[t7  
语法: E&T'U2  
     groupadd 选项 用户组 nIN%<3U2  
选项: FRJ:ym=E  
     -g GID   指定新用户组的组标识号（GID）。 y9re17{ X  
     -o       一般与-g选项同时使用，表示新用户组的GID可以与系统已有用户组的GID相同。 8n."
5,P  
例1: 6{Cu~G{]N  
? {pQ@0b  
1 T$N08aju#  
$ groupadd group1 LPm# 3U  
释义: #K,qF*  
  此命令向系统中增加了一个新组group1，新组的组标识号是在当前已有的最大组标识号的基础上加1。 l)!woOt  
例2: ^1FZ`2u;  
? )(|0Ka
rF  
1 |@Idf`N$  
$ groupadd -g 101 group2 &T{B~i3w8  
释义: e5/DCz  
  此命令向系统中增加了一个新组group2，同时指定新组的组标识号是101。 Mpl,}Q!c  
2、如果要删除一个已有的用户组，使用groupdel命令. ZX5A%`<M  
语法: ~C*6V{Tj  
    groupdel 用户组 Kg0\Pvg8?T  
例1: ]!Aze^7;  
? bHo?Rw!.  
1 @Q1F#IU  
$ groupdel group1 1eR{~ ,  
释义: YrcC"  
  此命令从系统中删除组group1。 rJ~(Xu>,s  
3.修改用户组的属性使用groupmod命令。 r-"`Abev  
语法: &b]KMAo3  
    groupmod 选项 用户组 *Lk&@(  
选项: ~~E=E;9
  
    -g GID           为用户组指定新的组标识号。 6!=9V0G~  
    -o               与-g选项同时使用，用户组的新GID可以与系统已有用户组的GID相同。 xupdjT%4  
    -n  新用户组     将用户组的名字改为新名字 Vm8_ !$F  
例1:  ]mU*Y:<  
? >t<R6f_Q0  
1 v+2qR0,LM  
$ groupmod -g 102 group2 k <Sa
<  
释义: 2/gj@>dt  
此命令将组group2的组标识号修改为102。 ;+Kewi;<  
例2: 8@#Y <{  
? J)&
+y;.  
1 /9#jv]C:  
$ groupmod –g 10000 -n group3 group2 6Z}))*3 9  
释义: .Bn2;
nO  
此命令将组group2的标识号改为10000，组名修改为group3。 P9!]<so  
4.如果一个用户同时属于多个用户组，那么用户可以在用户组之间切换，以便具有其他用户组的权限。 J}u1\Id%  
用户可以在登录后，使用命令newgrp切换到其他用户组，这个命令的参数就是目的用户组。 ZDD|MH  
例如: TzXl
?N  
? ^%@.Vvz<  
1 {vlh,0~  
$ newgrp root 'gH#\he[Dh  
释义: aN3{\^  
这条命令将当前用户切换到root用户组，前提条件是root用户组确实是该用户的主组或附加组。 l.)!jWY  
类似于用户账号的管理，用户组的管理也可以通过集成的系统管理工具来完成。 Q;M\P/f  
总结 @vh>GiR){  
以上就是这篇文章的全部内容了，希望本文的内容对大家的学习或者工作能带来一定的帮助，如果有疑问大家可以留言交流。