linux用戶被鎖定

① linux中哪些無關賬號需要鎖定

linux中需要鎖定賬號的情況為：

用戶在指定時間內輸入錯誤密碼的次數達到了相應的次數，賬戶鎖定策略就會將該用戶禁用。

linux對賬戶的鎖定功能比windows的要更加廣泛，強大，windows組策略中的限制，只是在系統層面的限制。

而linux藉助pam(Pluggable Authentication Moles，插件式認證模塊)的強大，不單止可以系統層面實現，還能在各中支持pam的應用中實現這種安全鎖定策略。

linux中PAM通過提供一些動態鏈接庫和一套統一的API，將系統提供的服務和該服務的認證方式分開，使得系統管理員可以靈活地根據需要給不同的服務配置不同的認證方式而無需更改服務程序，同時也便於向系統中添加新的認證手段。

PAM最初是集成在Solaris中，目前已移植到其它系統中，如Linux、SunOS、HP－UX9．0等。

PAM的配置是通過單個配置文件／etc／pam．conf。RedHat還支持另外一種配置方式，即通過配置目錄／etc／pam．d／，且這種的優先順序要高於單個配置文件的方式。

(1)linux用戶被鎖定擴展閱讀：

在 Linux 中鎖定、解鎖和檢查給定用戶帳戶的狀態的操作：

找到同時有「password」和「pam＿unix．so」欄位並且附加有「remember＝5」的那行，它表示禁止使用最近用過的5個密碼（己使用過的密碼會被保存在／etc／security／opasswd下面）。

找到同時有「password」和「pam＿cracklib．so」欄位並且附加有「minlen＝10」的那行，它表示最小密碼長度為（10－類型數量）。這里的「類型數量」表示不同的字元類型數量。PAM提供4種類型符號作為密碼（大寫字母、小寫字母、數字和標點符號）。

如果密碼同時用上了這4種類型的符號，並且你的minlen設為10，那麼最短的密碼長度允許是6個字元。

使用配置目錄／etc／pam．d／，該目錄下的每個文件的名字對應服務名，例如ftp服務對應文件／etc／pam．d／ftp。

如果名為xxxx的服務所對應的配置文件/etc/pam.d/xxxx不存 在，則該服務將使用默認的配置文件/etc/pam.d/other。每個文件由如下格式的文本行所構成：

mole－typecontrol－flagmole－patharguments；每個欄位的含義和／etc／pam．conf中的相同。

密碼復雜度通過／etc／pam．d／system－auth這個文件來實現的。

② linux 中root 用戶密碼鎖定該怎麼辦

有兩種方式可以取消root密碼。 一種是使用passwd命令，加上-d參數用於刪除密碼。 用法示例： $ passwd -d root 另一種是直接編輯/etc/shadow文件，/etc/shadow文件以加密的形式保存了各個用戶的密碼，如果密碼為空則不允許使用密碼登錄。 用法示例： $ sudo nano /etc/shadow 刪除root那一行第一個與第二個冒號之間的內容

③ linux用戶登錄三次被鎖了,這設置在哪配置的.

鎖用戶的設定
/etc/pam.d/下包含各種認證程序或服務的配置文件。編輯這些可限制認證失敗次數，當失敗次數超過指定值時用戶會被鎖住。
在此，以run
level為3的時候，多次登錄登錄失敗即鎖用戶為例：
在/etc/pam.d/login文件中追加如下兩行：
auth
required
/lib/security/pam_tally.so
onerr=fail
no_magic_root
account
required
/lib/security/pam_tally.so
deny=3
no_magic_root
reset
deny=3
設置登錄失敗3次就將用戶鎖住，該值可任意設定。
如下為全文見設定例：
auth
required
pam_securetty.so
auth
required
pam_stack.so
service=system-auth
auth
required
pam_nologin.so
auth
required
pam_tally.so
onerr=fail
no_magic_root
account
required
pam_stack.so
service=system-auth
account
required
pam_tally.so
deny=3
no_magic_root
reset
password
required
pam_stack.so
service=system-auth
session
required
pam_stack.so
service=system-auth
session
optional
pam_console.so
這樣當用戶在run
level=3的情況下登錄時，/var/log/faillog會自動生成，裡面記錄用戶登錄失敗次數等信息。
可用"faillog
-u
用戶名"命令來查看。
當用戶登錄成功時，以前的登錄失敗信息會重置。
2）用戶的解鎖
用戶因多次登錄失敗而被鎖的情況下，可用faillog命令來解鎖。具體如下：
faillog
-u
用戶名
-r
此命令實行後，faillog里記錄的失敗信息即被重置，用戶又可用了。
關於faillog的其他命令。。參見man
failog。
二：手動鎖定用戶禁止使用
可以用usermod命令來鎖定用戶密碼，使密碼無效，該用戶名將不能使用。
如：
usermod
-L
用戶名
解鎖命令：usermod
-U
用戶名
......
要想強制用戶下次登錄更改密碼就使用chage
-d
0
username
強制把上次更改密碼的日期歸零.
定義用戶密碼變更天數在/etc/shadow
這個文件中定義
對新建的用戶在/etc/login.defs這個文件中定義

④ Linux Centos7設置輸入密碼三次錯誤鎖定賬號

設置輸入密碼3次錯誤鎖定賬號【10800秒/3小時】

輸入

#     vi /etc/pam.d/sshd

然後按 i 進入編輯

#%PAM-1.0 

下面添加 一行

auth required pam_tally2.so deny=3 unlock_time=10800 even_deny_root root_unlock_time=10800

各參數解釋

even_deny_root 也限制root用戶；

deny 設置普通用戶和root用戶連續錯誤登陸的最大次數，超過最大次數，則鎖定該用戶

unlock_time 設定普通用戶鎖定後，多少時間後解鎖，單位是秒；

root_unlock_time 設定root用戶鎖定後，多少時間後解鎖，單位是秒；

此處使用的是 pam_tally2 模塊，如果不支持 pam_tally2 可以使用 pam_tally 模塊。另外，不同的pam版本，設置可能有所不同，具體使用方法，可以參照相關模塊的使用規則。

按 Esc 鍵退出編輯， 後按 ：wq 保存退出

⑤ linux下怎樣查看是否存在被鎖定賬號

/etc/password文件裡面有特殊的標志的，這個建議仔細的看一下這個文件內容， 對學習linux系統管理有好處。
以後遇到了linux方面的問題， 也可以幫樓主解決。
可以用命令查看
passwd -S bin

⑥ linux系統鎖定帳號和帳號過期的區別

linux系統鎖定帳號和帳號過期的區別是登錄狀態。根據查詢相關公開資料顯示，設置的密碼經過一段的凱團宴時間後，系統盯銀會認為該密碼不安全，於是將密碼設置為過期狀態，鎖定將會或租提示鎖定。

⑦ linux中被鎖定的用戶如何修改其密碼

如果是root用洞數戶給你鎖的，你納御首就得有root用戶許可權才能解鎖。如果是passwd -l 用戶名 鎖定的，可以passwd -u 用戶名 解鎖拆彎。但需要root許可權。

⑧ linux嘗試登錄失敗後鎖定用戶賬戶的兩種方法

pam_tally2模塊(方法一)

用於對系統進行失敗的ssh登錄嘗試後鎖定用戶帳戶。此模塊保留已嘗試訪問的計數和過多的失敗嘗試。

配置

使用 /etc/pam.d/system-auth 或 /etc/pam.d/password-auth 配置文件來配置的登錄嘗試的訪問

注意：

auth要放到第二行，不然會導致用戶超過3次後也可登錄。

如果對root也適用在auth後添加 even_deny_root .

auth required pam_tally2.so deny=3 even_deny_root unlock_time=600

pam_tally2命令

查看用戶登錄失敗的信息

解鎖用戶

pam_faillock 模塊(方法二)

在紅帽企業版 Linux 6 中， pam_faillock PAM 模塊允許系統管理員鎖定在指定次數內登錄嘗試失敗的用戶賬戶。限制用戶登錄嘗試的次數主要是作為一個安全措施，旨在防止可能針對獲取用戶的賬戶密碼的暴力破解

通過 pam_faillock 模塊，將登錄嘗試失敗的數據儲存在 /var/run/faillock 目錄下每位用戶的獨立文件中

配置

添加以下命令行到 /etc/pam.d/system-auth 文件和 /etc/pam.d/password-auth 文件中的對應區段：

auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600

auth sufficient pam_unix.so nullok try_first_pass

auth [default=die] pam_faillock.so authfail audit deny=3

account required pam_faillock.so

注意：

auth required pam_faillock.so preauth silent audit deny=3 必須在最前面。

適用於root在 pam_faillock 條目里添加 even_deny_root 選項

faillock命令

查看每個用戶的嘗試失敗次數

$ faillock

test:

When Type Source Valid

2017-06-20 14:29:05 RHOST 192.168.56.1 V

2017-06-20 14:29:14 RHOST 192.168.56.1 V

2017-06-20 14:29:17 RHOST 192.168.56.1 V

解鎖一個用戶的賬戶

⑨ Linux 修改密碼出現「鑒定令牌操作錯誤」

第一種：/usr/bin/passwd 的許可權中沒有添加s即SUID特殊稿散許可權鍵物氏

第二種：lsattr /etc/shadow 得到----i--------e- /etc/shadow（文件的隱藏屬性，具體不擴展），這里需要將i去掉，用chattr -i /etc/shadow

以上兩種均不是我遇到的情況。

第三種：雖然出現passwd: 鑒定令牌操作錯誤，但是密碼已經修改螞氏了，可以通過cat /etc/shadow去查看，只是該用戶被鎖定了，這里需要解鎖。

PS：以上操作全部在root許可權下。

⑩ 伺服器安全加固_Linux配置賬戶鎖定策略

使用下面命令，查看系統是否含有pam_tally2.so模塊，如果沒有就需要使用pam_tally.so模塊，兩個模塊的使用方法不太一樣，需要區分開來。

編輯系統/etc/pam.d/system-auth 文件，一定要在pam_env.so後面添加如下策略參數：

上面只是限制了從終端su登陸，如果想限制ssh遠程的話，要改的是/etc/pam.d/sshd這個文件，添加的內容跟上面一樣！

編輯系統/etc/pam.d/sshd文件，注意添加地點在#%PAM-1.0下一行，即第二行添加內容

ssh鎖定用戶後查看：

編輯系統 /etc/pam.d/login 文件，注意添加地點在#%PAM-1.0的下面,即第二行，添加內容

tty登錄鎖定後查看：

編輯 /etc/pam.d/remote文件，注意添加地點在pam_env.so後面,參數和ssh一致