linux用戶鎖定了
A. linux 中root 用戶密碼鎖定該怎麼辦
有兩種方式可以取消root密碼。 一種是使用passwd命令,加上-d參數用於刪除密碼。 用法示例: $ passwd -d root 另一種是直接編輯/etc/shadow文件,/etc/shadow文件以加密的形式保存了各個用戶的密碼,如果密碼為空則不允許使用密碼登錄。 用法示例: $ sudo nano /etc/shadow 刪除root那一行第一個與第二個冒號之間的內容
B. 伺服器安全加固_Linux配置賬戶鎖定策略
使用下面命令,查看系統是否含有pam_tally2.so模塊,如果沒有就需要使用pam_tally.so模塊,兩個模塊的使用方法不太一樣,需要區分開來。
編輯系統/etc/pam.d/system-auth 文件,一定要在pam_env.so後面添加如下策略參數:
上面只是限制了從終端su登陸,如果想限制ssh遠程的話,要改的是/etc/pam.d/sshd這個文件,添加的內容跟上面一樣!
編輯系統/etc/pam.d/sshd文件,注意添加地點在#%PAM-1.0下一行,即第二行添加內容
ssh鎖定用戶後查看:
編輯系統 /etc/pam.d/login 文件,注意添加地點在#%PAM-1.0的下面,即第二行,添加內容
tty登錄鎖定後查看:
編輯 /etc/pam.d/remote文件,注意添加地點在pam_env.so後面,參數和ssh一致
C. linux中被鎖定的用戶如何修改其密碼
如果是root用戶給你鎖的,你就得有root用戶許可權才能解鎖。如果是passwd
-l
用戶名
鎖定的,可以passwd
-u
用戶名
解鎖。但需要root許可權。
再看看別人怎麼說的。
D. Linux Centos7設置輸入密碼三次錯誤鎖定賬號
設置輸入密碼3次錯誤鎖定賬號【10800秒/3小時】
輸入
# vi /etc/pam.d/sshd
然後按 i 進入編輯
#%PAM-1.0
下面添加 一行
auth required pam_tally2.so deny=3 unlock_time=10800 even_deny_root root_unlock_time=10800
各參數解釋
even_deny_root 也限制root用戶;
deny 設置普通用戶和root用戶連續錯誤登陸的最大次數,超過最大次數,則鎖定該用戶
unlock_time 設定普通用戶鎖定後,多少時間後解鎖,單位是秒;
root_unlock_time 設定root用戶鎖定後,多少時間後解鎖,單位是秒;
此處使用的是 pam_tally2 模塊,如果不支持 pam_tally2 可以使用 pam_tally 模塊。另外,不同的pam版本,設置可能有所不同,具體使用方法,可以參照相關模塊的使用規則。
按 Esc 鍵退出編輯, 後按 :wq 保存退出
E. linux如何鎖定用戶
我們首先來創建一個linux用戶,(怎樣創建用戶查看經驗引用),這里就不說明怎樣添加用戶了,我這里已經添加一個用戶xiaoming,就已xiaoming為例吧
1linux添加管理員用戶
F. linux嘗試登錄失敗後鎖定用戶賬戶的兩種方法
pam_tally2模塊(方法一)
用於對系統進行失敗的ssh登錄嘗試後鎖定用戶帳戶。此模塊保留已嘗試訪問的計數和過多的失敗嘗試。
配置
使用 /etc/pam.d/system-auth 或 /etc/pam.d/password-auth 配置文件來配置的登錄嘗試的訪問
注意:
auth要放到第二行,不然會導致用戶超過3次後也可登錄。
如果對root也適用在auth後添加 even_deny_root .
auth required pam_tally2.so deny=3 even_deny_root unlock_time=600
pam_tally2命令
查看用戶登錄失敗的信息
解鎖用戶
pam_faillock 模塊(方法二)
在紅帽企業版 Linux 6 中, pam_faillock PAM 模塊允許系統管理員鎖定在指定次數內登錄嘗試失敗的用戶賬戶。限制用戶登錄嘗試的次數主要是作為一個安全措施,旨在防止可能針對獲取用戶的賬戶密碼的暴力破解
通過 pam_faillock 模塊,將登錄嘗試失敗的數據儲存在 /var/run/faillock 目錄下每位用戶的獨立文件中
配置
添加以下命令行到 /etc/pam.d/system-auth 文件和 /etc/pam.d/password-auth 文件中的對應區段:
auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth sufficient pam_unix.so nullok try_first_pass
auth [default=die] pam_faillock.so authfail audit deny=3
account required pam_faillock.so
注意:
auth required pam_faillock.so preauth silent audit deny=3 必須在最前面。
適用於root在 pam_faillock 條目里添加 even_deny_root 選項
faillock命令
查看每個用戶的嘗試失敗次數
$ faillock
test:
When Type Source Valid
2017-06-20 14:29:05 RHOST 192.168.56.1 V
2017-06-20 14:29:14 RHOST 192.168.56.1 V
2017-06-20 14:29:17 RHOST 192.168.56.1 V
解鎖一個用戶的賬戶
G. linux用戶登錄三次被鎖了,這設置在哪配置的.
鎖用戶的設定
/etc/pam.d/下包含各種認證程序或服務的配置文件。編輯這些可限制認證失敗次數,當失敗次數超過指定值時用戶會被鎖住。
在此,以run
level為3的時候,多次登錄登錄失敗即鎖用戶為例:
在/etc/pam.d/login文件中追加如下兩行:
auth
required
/lib/security/pam_tally.so
onerr=fail
no_magic_root
account
required
/lib/security/pam_tally.so
deny=3
no_magic_root
reset
deny=3
設置登錄失敗3次就將用戶鎖住,該值可任意設定。
如下為全文見設定例:
auth
required
pam_securetty.so
auth
required
pam_stack.so
service=system-auth
auth
required
pam_nologin.so
auth
required
pam_tally.so
onerr=fail
no_magic_root
account
required
pam_stack.so
service=system-auth
account
required
pam_tally.so
deny=3
no_magic_root
reset
password
required
pam_stack.so
service=system-auth
session
required
pam_stack.so
service=system-auth
session
optional
pam_console.so
這樣當用戶在run
level=3的情況下登錄時,/var/log/faillog會自動生成,裡面記錄用戶登錄失敗次數等信息。
可用"faillog
-u
用戶名"命令來查看。
當用戶登錄成功時,以前的登錄失敗信息會重置。
2)用戶的解鎖
用戶因多次登錄失敗而被鎖的情況下,可用faillog命令來解鎖。具體如下:
faillog
-u
用戶名
-r
此命令實行後,faillog里記錄的失敗信息即被重置,用戶又可用了。
關於faillog的其他命令。。參見man
failog。
二:手動鎖定用戶禁止使用
可以用usermod命令來鎖定用戶密碼,使密碼無效,該用戶名將不能使用。
如:
usermod
-L
用戶名
解鎖命令:usermod
-U
用戶名
......
要想強制用戶下次登錄更改密碼就使用chage
-d
0
username
強制把上次更改密碼的日期歸零.
定義用戶密碼變更天數在/etc/shadow
這個文件中定義
對新建的用戶在/etc/login.defs這個文件中定義
H. 記錄-Linux root用戶被鎖定出現Account locked e to 217 failed logins
這個錯誤是因為次數過多的原因導致的賬號被鎖
1,啟動虛擬機,出現下面的倒計時界面時,按鍵盤上的e鍵
(說明:要確保游標此時已經在虛擬機內了,要不然,按了e鍵,也是在windows內,無效。e代表edit,啟動前編輯)
2,進入如下後界面,再按e鍵
3,進入如下界面後,使用鍵盤上的上下鍵,選中第二項以kernel開頭的項。選中後,再次按e鍵
4,進入以下界面後,在最後面輸入空格和s,然後回車。(注意:有的系統顯示的內容可能和我下面出現的這一行不一樣,沒關系,直接加空格和s就行,不影響的;也就說什麼呢,只要進入到這個頁面,直接加空格和s,不要管他顯示的是什麼;)
5,接著會回到如下界面,然後按下b鍵(b代表boot啟動)
6,進入如下
7.重置root被鎖次數
8,此時輸入passwd root回車,
9,輸入密碼,回車,確認密碼,回車,輸入reboot,回車;
(聲明:輸入的密碼不會顯示出來,如果密碼中想要帶數字的話,不要使用鍵盤右邊的number pad欄,要使用字母鍵盤上的數字,因為你不確定此時num lock是否鎖定(針對筆記本而言))
step_9:最後就可以使用新密碼登錄了;
I. linux用戶管理
不同linux系統下 useradd的默認選項有所差別,比如centos下默認是useradd -m -k ,ubuntu下默認是useradd -M
具體參數用man 解決
只需要在/etc目錄下建立一個nologin文檔,那麼Linux上的所有用戶(除了root以外)都無法登錄!!
Linux下鎖定賬號,禁止登錄系統的設置總結
密碼欄位特殊字元的含義
/etc/shadow usually contains the following user information:
User login name
salt and hashed password OR a status exception value e.g.:
"NP" or "!" or null - No password, the account has no password.
"LK" or " " - the account is Locked, user will be unable to log-in
"!!" - the password has expired
密碼項為 和 密碼前加! 都可以使用戶無法登錄
*的本質就是賬戶被鎖定,不能登錄,從root su過去也不行.
!的本質是使用戶的密碼不可用,正常登錄都會提示認證失敗,但是從root能su過去,因為root su的時候不要密碼.
用法: usermod [選項] 登錄名(注意一定是登錄名 不要用uid)
chage命令的日期可以用下面兩種方式中的任意一種:
1.YYYY-MM-DD格式的日期
2.代表從1970年1月1日起到該日期天數的數值
J. linux下怎樣查看是否存在被鎖定賬號
/etc/password文件裡面有特殊的標志的,這個建議仔細的看一下這個文件內容, 對學習linux系統管理有好處。
以後遇到了linux方面的問題, 也可以幫樓主解決。
可以用命令查看
passwd -S bin