linux鎖定用戶
Ⅰ 13) linux 用於暫時鎖定用戶帳號的命令是
passwd -l username 鎖定用戶的口令
usermod -L username 鎖定用戶密碼,使密碼無效。
Ⅱ linux怎麼限制用戶只能在一個終端登錄
大家都知道現在很多電腦軟體都有限制用戶登陸失敗次數的限制,Linux也是如此,當你登錄失敗多次後就可以限制用戶登錄,從而起到保護電腦安全的作用,通過PAM模塊即可實現,下面隨我一起來了解下吧。 Linux有一個pam_tally2.so的PAM模塊,來限定用戶的登錄失敗次數,如果次數達到設置的閾值,則鎖定用戶。 編譯PAM的配置文件# vim /etc/pam.d/login #%PAM-1.0 auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10 auth [user_unknown=ignore success=ok ignoreignore=ignore default=bad] pam_securetty.so auth include system-auth account required pam_nologin.so account include system-auth password include system-auth # pam_selinux.so close should be the first session rule session required pam_selinux.so close session optional pam_keyinit.so force revoke session required pam_loginuid.so session include system-auth session optional pam_console.so # pam_selinux.so open should only be followed by sessions to be executed in the user context session required pam_selinux.so open 各參數解釋 even_deny_root 也限制root用戶; deny 設置普通用戶和root用戶連續錯誤登陸的最大次數,超過最大次數,則鎖定該用戶 unlock_time 設定普通用戶鎖定後,多少時間後解鎖,單位是秒; root_unlock_time 設定root用戶鎖定後,多少時間後解鎖,單位是秒; 此處使用的是 pam_tally2 模塊,如果不支持 pam_tally2 可以使用 pam_tally 模塊。另外,不同的pam版本,設置可能有所不同,具體使用方法,可以參照相關模塊的使用規則。 在#%PAM-1.0的下面,即第二行,添加內容,一定要寫在前面,如果寫在後面,雖然用戶被鎖定,但是只要用戶輸入正確的密碼,還是可以登錄的! 最終效果如下圖 這個只是限制了用戶從tty登錄,而沒有限制遠程登錄,如果想限制遠程登錄,需要改SSHD文件# vim /etc/pam.d/sshd #%PAM-1.0 auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=10 auth include system-auth account required pam_nologin.so account include system-auth password include system-auth session optional pam_keyinit.so force revoke session include system-auth session required pam_loginuid.so 同樣是增加在第2行! 查看用戶登錄失敗的次數 [root@node100 pam.d]# pam_tally2 --user RedHat Login Failures Latest failure From redhat 7 07/16/12 15:18:22 tty1 解鎖指定用戶 [root@node100 pam.d]# pam_tally2 -r -u redhat Login Failures Latest failure From redhat 7 07/16/12 15:18:22 tty1 這個遠程ssh的時候,沒有提示,我用的是Xshell,不知道其它終端有沒提示,只要超過設定的值,輸入正確的密碼也是登陸不了的! 上面就是Linux通過PAM模塊限制用戶登錄次數的方法,最好設置下,以免別人用工具破解你的電腦,竊取你的隱私信息。
Ⅲ linux 中root 用戶密碼鎖定該怎麼辦
有兩種方式可以取消root密碼。 一種是使用passwd命令,加上-d參數用於刪除密碼。 用法示例: $ passwd -d root 另一種是直接編輯/etc/shadow文件,/etc/shadow文件以加密的形式保存了各個用戶的密碼,如果密碼為空則不允許使用密碼登錄。 用法示例: $ sudo nano /etc/shadow 刪除root那一行第一個與第二個冒號之間的內容
Ⅳ 在linux下任何把用戶鎖定在Home/用戶下
如何才能讓ftp用戶不能登錄系統? 我們可以讓一個用戶只有ftp許可權而不能登錄系統,實現的方法是: useradd-d /userhomedirecdory-s /sbin/nologin username passwd username ok,這樣你就擁有一個只能ftp而不能登錄系統的用戶了 4. 如何把一個用戶鎖定在自己的家目錄中? 我們知道使用系統用戶登錄後,該用戶可以進入到不屬於自己的目錄中,這樣是不安全的,那麼我們如何才讓他老老實實地呆在自己的目錄中呢? 在vsftpd.conf中找到這樣幾行引用:#chroot_list_enable=YES #(default follows) #chroot_list_file=/etc/vsftpd.chroot_list 來自頂點網路( www.ddwt.net ) - 詳文鏈接: http://www.ddwt.net/html/ddzz/fuwuqi/200801/16350.html 參考文獻: http://www.ddwt.net/html/ddzz/fuwuqi/200801/16350.html
Ⅳ Linux 假設你是root系統管理員,怎麼樣鎖定用戶帳號
如果你已經是root系統管理員了,直接修改/etc/passwd文件就可以了
你把需要修改的賬號的最後一列的登錄shell改成非登錄shell
比如/bin/false,他就不能登錄系統了
Ⅵ linux中哪些無關賬號需要鎖定
linux中需要鎖定賬號的情況為:
用戶在指定時間內輸入錯誤密碼的次數達到了相應的次數,賬戶鎖定策略就會將該用戶禁用。
linux對賬戶的鎖定功能比windows的要更加廣泛,強大,windows組策略中的限制,只是在系統層面的限制。
而linux藉助pam(Pluggable Authentication Moles,插件式認證模塊)的強大,不單止可以系統層面實現,還能在各中支持pam的應用中實現這種安全鎖定策略。
linux中PAM通過提供一些動態鏈接庫和一套統一的API,將系統提供的服務和該服務的認證方式分開,使得系統管理員可以靈活地根據需要給不同的服務配置不同的認證方式而無需更改服務程序,同時也便於向系統中添加新的認證手段。
PAM最初是集成在Solaris中,目前已移植到其它系統中,如Linux、SunOS、HP-UX9.0等。
PAM的配置是通過單個配置文件/etc/pam.conf。RedHat還支持另外一種配置方式,即通過配置目錄/etc/pam.d/,且這種的優先順序要高於單個配置文件的方式。
(6)linux鎖定用戶擴展閱讀:
在 Linux 中鎖定、解鎖和檢查給定用戶帳戶的狀態的操作:
找到同時有「password」和「pam_unix.so」欄位並且附加有「remember=5」的那行,它表示禁止使用最近用過的5個密碼(己使用過的密碼會被保存在/etc/security/opasswd下面)。
找到同時有「password」和「pam_cracklib.so」欄位並且附加有「minlen=10」的那行,它表示最小密碼長度為(10-類型數量)。這里的「類型數量」表示不同的字元類型數量。PAM提供4種類型符號作為密碼(大寫字母、小寫字母、數字和標點符號)。
如果密碼同時用上了這4種類型的符號,並且你的minlen設為10,那麼最短的密碼長度允許是6個字元。
使用配置目錄/etc/pam.d/,該目錄下的每個文件的名字對應服務名,例如ftp服務對應文件/etc/pam.d/ftp。
如果名為xxxx的服務所對應的配置文件/etc/pam.d/xxxx不存 在,則該服務將使用默認的配置文件/etc/pam.d/other。每個文件由如下格式的文本行所構成:
mole-typecontrol-flagmole-patharguments;每個欄位的含義和/etc/pam.conf中的相同。
密碼復雜度通過/etc/pam.d/system-auth這個文件來實現的。
Ⅶ 如何在linux系統強制用戶在首次登陸時必須修改自己的密碼
方法是:讓用戶第一次登錄的時候把初始密碼立刻過期。
步驟如下:
鎖定用戶密碼。執行命令:usermod -L username。如果用戶不存在,用useradd添加用戶,但是不設置密碼,使得該帳號仍然處於鎖定狀態,如果用戶密碼已經激活,則用上面命令鎖定。
強制密碼立刻過期。執行命令:chage -d 0 username。該命令設置用戶上次修改密碼的時間為紀元時間(1970年1月1日),這樣會使得該命令立刻過期,而不論密碼過期策略的設置。
對帳號解鎖。可以設置一個新密碼或者設置空密碼。不要使用passwd來設置密碼,因為它會使得剛才設置的使密碼立刻過期的設置失效。
注意:最好不要設置空密碼,有一定的安全風險。
Ⅷ linux中被鎖定的用戶如何修改其密碼
如果是root用戶給你鎖的,你就得有root用戶許可權才能解鎖。如果是passwd
-l
用戶名
鎖定的,可以passwd
-u
用戶名
解鎖。但需要root許可權。
再看看別人怎麼說的。
Ⅸ linux用戶登錄三次被鎖了,這設置在哪配置的.
鎖用戶的設定
/etc/pam.d/下包含各種認證程序或服務的配置文件。編輯這些可限制認證失敗次數,當失敗次數超過指定值時用戶會被鎖住。
在此,以run
level為3的時候,多次登錄登錄失敗即鎖用戶為例:
在/etc/pam.d/login文件中追加如下兩行:
auth
required
/lib/security/pam_tally.so
onerr=fail
no_magic_root
account
required
/lib/security/pam_tally.so
deny=3
no_magic_root
reset
deny=3
設置登錄失敗3次就將用戶鎖住,該值可任意設定。
如下為全文見設定例:
auth
required
pam_securetty.so
auth
required
pam_stack.so
service=system-auth
auth
required
pam_nologin.so
auth
required
pam_tally.so
onerr=fail
no_magic_root
account
required
pam_stack.so
service=system-auth
account
required
pam_tally.so
deny=3
no_magic_root
reset
password
required
pam_stack.so
service=system-auth
session
required
pam_stack.so
service=system-auth
session
optional
pam_console.so
這樣當用戶在run
level=3的情況下登錄時,/var/log/faillog會自動生成,裡面記錄用戶登錄失敗次數等信息。
可用"faillog
-u
用戶名"命令來查看。
當用戶登錄成功時,以前的登錄失敗信息會重置。
2)用戶的解鎖
用戶因多次登錄失敗而被鎖的情況下,可用faillog命令來解鎖。具體如下:
faillog
-u
用戶名
-r
此命令實行後,faillog里記錄的失敗信息即被重置,用戶又可用了。
關於faillog的其他命令。。參見man
failog。
二:手動鎖定用戶禁止使用
可以用usermod命令來鎖定用戶密碼,使密碼無效,該用戶名將不能使用。
如:
usermod
-L
用戶名
解鎖命令:usermod
-U
用戶名
......
要想強制用戶下次登錄更改密碼就使用chage
-d
0
username
強制把上次更改密碼的日期歸零.
定義用戶密碼變更天數在/etc/shadow
這個文件中定義
對新建的用戶在/etc/login.defs這個文件中定義
Ⅹ Linux操作系統 如何查封一個用戶賬號
什麼叫做查封?只是限制他的登陸嗎?方法有很多:
1.以Root登陸,刪除用戶userdel -r 用戶名;
2.以Root登陸,鎖定用戶usermod -L 用戶名;
3.以Root登陸,不給用戶互動式的shell : usermod -s sbin/nonlogin;
以上三種最簡單。