linux用户锁定了
A. linux 中root 用户密码锁定该怎么办
有两种方式可以取消root密码。 一种是使用passwd命令,加上-d参数用于删除密码。 用法示例: $ passwd -d root 另一种是直接编辑/etc/shadow文件,/etc/shadow文件以加密的形式保存了各个用户的密码,如果密码为空则不允许使用密码登录。 用法示例: $ sudo nano /etc/shadow 删除root那一行第一个与第二个冒号之间的内容
B. 服务器安全加固_Linux配置账户锁定策略
使用下面命令,查看系统是否含有pam_tally2.so模块,如果没有就需要使用pam_tally.so模块,两个模块的使用方法不太一样,需要区分开来。
编辑系统/etc/pam.d/system-auth 文件,一定要在pam_env.so后面添加如下策略参数:
上面只是限制了从终端su登陆,如果想限制ssh远程的话,要改的是/etc/pam.d/sshd这个文件,添加的内容跟上面一样!
编辑系统/etc/pam.d/sshd文件,注意添加地点在#%PAM-1.0下一行,即第二行添加内容
ssh锁定用户后查看:
编辑系统 /etc/pam.d/login 文件,注意添加地点在#%PAM-1.0的下面,即第二行,添加内容
tty登录锁定后查看:
编辑 /etc/pam.d/remote文件,注意添加地点在pam_env.so后面,参数和ssh一致
C. linux中被锁定的用户如何修改其密码
如果是root用户给你锁的,你就得有root用户权限才能解锁。如果是passwd
-l
用户名
锁定的,可以passwd
-u
用户名
解锁。但需要root权限。
再看看别人怎么说的。
D. Linux Centos7设置输入密码三次错误锁定账号
设置输入密码3次错误锁定账号【10800秒/3小时】
输入
# vi /etc/pam.d/sshd
然后按 i 进入编辑
#%PAM-1.0
下面添加 一行
auth required pam_tally2.so deny=3 unlock_time=10800 even_deny_root root_unlock_time=10800
各参数解释
even_deny_root 也限制root用户;
deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户
unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒;
root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒;
此处使用的是 pam_tally2 模块,如果不支持 pam_tally2 可以使用 pam_tally 模块。另外,不同的pam版本,设置可能有所不同,具体使用方法,可以参照相关模块的使用规则。
按 Esc 键退出编辑, 后按 :wq 保存退出
E. linux如何锁定用户
我们首先来创建一个linux用户,(怎样创建用户查看经验引用),这里就不说明怎样添加用户了,我这里已经添加一个用户xiaoming,就已xiaoming为例吧
1linux添加管理员用户
F. linux尝试登录失败后锁定用户账户的两种方法
pam_tally2模块(方法一)
用于对系统进行失败的ssh登录尝试后锁定用户帐户。此模块保留已尝试访问的计数和过多的失败尝试。
配置
使用 /etc/pam.d/system-auth 或 /etc/pam.d/password-auth 配置文件来配置的登录尝试的访问
注意:
auth要放到第二行,不然会导致用户超过3次后也可登录。
如果对root也适用在auth后添加 even_deny_root .
auth required pam_tally2.so deny=3 even_deny_root unlock_time=600
pam_tally2命令
查看用户登录失败的信息
解锁用户
pam_faillock 模块(方法二)
在红帽企业版 Linux 6 中, pam_faillock PAM 模块允许系统管理员锁定在指定次数内登录尝试失败的用户账户。限制用户登录尝试的次数主要是作为一个安全措施,旨在防止可能针对获取用户的账户密码的暴力破解
通过 pam_faillock 模块,将登录尝试失败的数据储存在 /var/run/faillock 目录下每位用户的独立文件中
配置
添加以下命令行到 /etc/pam.d/system-auth 文件和 /etc/pam.d/password-auth 文件中的对应区段:
auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth sufficient pam_unix.so nullok try_first_pass
auth [default=die] pam_faillock.so authfail audit deny=3
account required pam_faillock.so
注意:
auth required pam_faillock.so preauth silent audit deny=3 必须在最前面。
适用于root在 pam_faillock 条目里添加 even_deny_root 选项
faillock命令
查看每个用户的尝试失败次数
$ faillock
test:
When Type Source Valid
2017-06-20 14:29:05 RHOST 192.168.56.1 V
2017-06-20 14:29:14 RHOST 192.168.56.1 V
2017-06-20 14:29:17 RHOST 192.168.56.1 V
解锁一个用户的账户
G. linux用户登录三次被锁了,这设置在哪配置的.
锁用户的设定
/etc/pam.d/下包含各种认证程序或服务的配置文件。编辑这些可限制认证失败次数,当失败次数超过指定值时用户会被锁住。
在此,以run
level为3的时候,多次登录登录失败即锁用户为例:
在/etc/pam.d/login文件中追加如下两行:
auth
required
/lib/security/pam_tally.so
onerr=fail
no_magic_root
account
required
/lib/security/pam_tally.so
deny=3
no_magic_root
reset
deny=3
设置登录失败3次就将用户锁住,该值可任意设定。
如下为全文见设定例:
auth
required
pam_securetty.so
auth
required
pam_stack.so
service=system-auth
auth
required
pam_nologin.so
auth
required
pam_tally.so
onerr=fail
no_magic_root
account
required
pam_stack.so
service=system-auth
account
required
pam_tally.so
deny=3
no_magic_root
reset
password
required
pam_stack.so
service=system-auth
session
required
pam_stack.so
service=system-auth
session
optional
pam_console.so
这样当用户在run
level=3的情况下登录时,/var/log/faillog会自动生成,裏面记录用户登录失败次数等信息。
可用"faillog
-u
用户名"命令来查看。
当用户登录成功时,以前的登录失败信息会重置。
2)用户的解锁
用户因多次登录失败而被锁的情况下,可用faillog命令来解锁。具体如下:
faillog
-u
用户名
-r
此命令实行后,faillog里记录的失败信息即被重置,用户又可用了。
关于faillog的其他命令。。参见man
failog。
二:手动锁定用户禁止使用
可以用usermod命令来锁定用户密码,使密码无效,该用户名将不能使用。
如:
usermod
-L
用户名
解锁命令:usermod
-U
用户名
......
要想强制用户下次登录更改密码就使用chage
-d
0
username
强制把上次更改密码的日期归零.
定义用户密码变更天数在/etc/shadow
这个文件中定义
对新建的用户在/etc/login.defs这个文件中定义
H. 记录-Linux root用户被锁定出现Account locked e to 217 failed logins
这个错误是因为次数过多的原因导致的账号被锁
1,启动虚拟机,出现下面的倒计时界面时,按键盘上的e键
(说明:要确保光标此时已经在虚拟机内了,要不然,按了e键,也是在windows内,无效。e代表edit,启动前编辑)
2,进入如下后界面,再按e键
3,进入如下界面后,使用键盘上的上下键,选中第二项以kernel开头的项。选中后,再次按e键
4,进入以下界面后,在最后面输入空格和s,然后回车。(注意:有的系统显示的内容可能和我下面出现的这一行不一样,没关系,直接加空格和s就行,不影响的;也就说什么呢,只要进入到这个页面,直接加空格和s,不要管他显示的是什么;)
5,接着会回到如下界面,然后按下b键(b代表boot启动)
6,进入如下
7.重置root被锁次数
8,此时输入passwd root回车,
9,输入密码,回车,确认密码,回车,输入reboot,回车;
(声明:输入的密码不会显示出来,如果密码中想要带数字的话,不要使用键盘右边的number pad栏,要使用字母键盘上的数字,因为你不确定此时num lock是否锁定(针对笔记本而言))
step_9:最后就可以使用新密码登录了;
I. linux用户管理
不同linux系统下 useradd的默认选项有所差别,比如centos下默认是useradd -m -k ,ubuntu下默认是useradd -M
具体参数用man 解决
只需要在/etc目录下建立一个nologin文档,那么Linux上的所有用户(除了root以外)都无法登录!!
Linux下锁定账号,禁止登录系统的设置总结
密码字段特殊字符的含义
/etc/shadow usually contains the following user information:
User login name
salt and hashed password OR a status exception value e.g.:
"NP" or "!" or null - No password, the account has no password.
"LK" or " " - the account is Locked, user will be unable to log-in
"!!" - the password has expired
密码项为 和 密码前加! 都可以使用户无法登录
*的本质就是账户被锁定,不能登录,从root su过去也不行.
!的本质是使用户的密码不可用,正常登录都会提示认证失败,但是从root能su过去,因为root su的时候不要密码.
用法: usermod [选项] 登录名(注意一定是登录名 不要用uid)
chage命令的日期可以用下面两种方式中的任意一种:
1.YYYY-MM-DD格式的日期
2.代表从1970年1月1日起到该日期天数的数值
J. linux下怎样查看是否存在被锁定账号
/etc/password文件里面有特殊的标志的,这个建议仔细的看一下这个文件内容, 对学习linux系统管理有好处。
以后遇到了linux方面的问题, 也可以帮楼主解决。
可以用命令查看
passwd -S bin