linux账户锁
❶ linux 中root 用户密码锁定该怎么办
有两种方式可以取消root密码。 一种是使用passwd命令,加上-d参数用于删除密码。 用法示例: $ passwd -d root 另一种是直接编辑/etc/shadow文件,/etc/shadow文件以加密的形式保存了各个用户的密码,如果密码为空则不允许使用密码登录。 用法示例: $ sudo nano /etc/shadow 删除root那一行第一个与第二个冒号之间的内容
❷ Linux系统内核首次加入锁定功能
Linux之父林纳斯·托瓦兹(Linus Torvalds)上周六宣布在新版Linux系统内核中首次加入锁定功能。
这项名为“lockdown”的Linux内核新安全功能将作为LSM(Linux安全模块)出现在即将发布的Linux 5.4版本当中。
该功能默认情况下处于关闭状态,由于存在破坏现有系统的风险,因此用户可选使用。这项新功能的主要目的是通过防止root帐户与内核代码进行交互来加强用户态进程与内核代码之间的鸿沟。
启用后,新的“锁定”功能将限制Linux某些内核功能,即使对于root用户也是如此,这使得受到破坏的root帐户更难于破坏其余的系统内核。
托瓦兹表示:“启用后,各种内核功能都受到限制。 ” 这包括限制对内核功能的访问,这些功能可能允许通过用户级进程提供的代码执行任意代码;阻止进程写入或读取/ dev / mem和/ dev / kmem内存;阻止对打开/ dev / port的访问,以防止原始端口访问;加强内核模块签名等。
Linux是一种自由和开放源码的类UNIX 操作系统。该操作系统的内核由林纳斯·托瓦兹在1991年10月5日首次发布。在加上用户空间的应用程序之后,成为 Linux 操作系统。Linux也是最着名的自由软件和开放源代码软件。只要遵循GNU 通用公共许可证(GPL),任何个人和机构都可以自由地使用Linux 的所有底层源代码,也可以自由地修改和再发布。
❸ linux用户登录三次被锁了,这设置在哪配置的.
锁用户的设定
/etc/pam.d/下包含各种认证程序或服务的配置文件。编辑这些可限制认证失败次数,当失败次数超过指定值时用户会被锁住。
在此,以run
level为3的时候,多次登录登录失败即锁用户为例:
在/etc/pam.d/login文件中追加如下两行:
auth
required
/lib/security/pam_tally.so
onerr=fail
no_magic_root
account
required
/lib/security/pam_tally.so
deny=3
no_magic_root
reset
deny=3
设置登录失败3次就将用户锁住,该值可任意设定。
如下为全文见设定例:
auth
required
pam_securetty.so
auth
required
pam_stack.so
service=system-auth
auth
required
pam_nologin.so
auth
required
pam_tally.so
onerr=fail
no_magic_root
account
required
pam_stack.so
service=system-auth
account
required
pam_tally.so
deny=3
no_magic_root
reset
password
required
pam_stack.so
service=system-auth
session
required
pam_stack.so
service=system-auth
session
optional
pam_console.so
这样当用户在run
level=3的情况下登录时,/var/log/faillog会自动生成,裏面记录用户登录失败次数等信息。
可用"faillog
-u
用户名"命令来查看。
当用户登录成功时,以前的登录失败信息会重置。
2)用户的解锁
用户因多次登录失败而被锁的情况下,可用faillog命令来解锁。具体如下:
faillog
-u
用户名
-r
此命令实行后,faillog里记录的失败信息即被重置,用户又可用了。
关于faillog的其他命令。。参见man
failog。
二:手动锁定用户禁止使用
可以用usermod命令来锁定用户密码,使密码无效,该用户名将不能使用。
如:
usermod
-L
用户名
解锁命令:usermod
-U
用户名
......
要想强制用户下次登录更改密码就使用chage
-d
0
username
强制把上次更改密码的日期归零.
定义用户密码变更天数在/etc/shadow
这个文件中定义
对新建的用户在/etc/login.defs这个文件中定义
❹ linux中哪些无关账号需要锁定
linux中需要锁定账号的情况为:
用户在指定时间内输入错误密码的次数达到了相应的次数,账户锁定策略就会将该用户禁用。
linux对账户的锁定功能比windows的要更加广泛,强大,windows组策略中的限制,只是在系统层面的限制。
而linux借助pam(Pluggable Authentication Moles,插件式认证模块)的强大,不单止可以系统层面实现,还能在各中支持pam的应用中实现这种安全锁定策略。
linux中PAM通过提供一些动态链接库和一套统一的API,将系统提供的服务和该服务的认证方式分开,使得系统管理员可以灵活地根据需要给不同的服务配置不同的认证方式而无需更改服务程序,同时也便于向系统中添加新的认证手段。
PAM最初是集成在Solaris中,目前已移植到其它系统中,如Linux、SunOS、HP-UX9.0等。
PAM的配置是通过单个配置文件/etc/pam.conf。RedHat还支持另外一种配置方式,即通过配置目录/etc/pam.d/,且这种的优先级要高于单个配置文件的方式。
(4)linux账户锁扩展阅读:
在 Linux 中锁定、解锁和检查给定用户帐户的状态的操作:
找到同时有“password”和“pam_unix.so”字段并且附加有“remember=5”的那行,它表示禁止使用最近用过的5个密码(己使用过的密码会被保存在/etc/security/opasswd下面)。
找到同时有“password”和“pam_cracklib.so”字段并且附加有“minlen=10”的那行,它表示最小密码长度为(10-类型数量)。这里的“类型数量”表示不同的字符类型数量。PAM提供4种类型符号作为密码(大写字母、小写字母、数字和标点符号)。
如果密码同时用上了这4种类型的符号,并且你的minlen设为10,那么最短的密码长度允许是6个字符。
使用配置目录/etc/pam.d/,该目录下的每个文件的名字对应服务名,例如ftp服务对应文件/etc/pam.d/ftp。
如果名为xxxx的服务所对应的配置文件/etc/pam.d/xxxx不存 在,则该服务将使用默认的配置文件/etc/pam.d/other。每个文件由如下格式的文本行所构成:
mole-typecontrol-flagmole-patharguments;每个字段的含义和/etc/pam.conf中的相同。
密码复杂度通过/etc/pam.d/system-auth这个文件来实现的。
❺ 记录-Linux root用户被锁定出现Account locked e to 217 failed logins
这个错误是因为次数过多的原因导致的账号被锁
1,启动虚拟机,出现下面的倒计时界面时,按键盘上的e键
(说明:要确保光标此时已经在虚拟机内了,要不然,按了e键,也是在windows内,无效。e代表edit,启动前编辑)
2,进入如下后界面,再按e键
3,进入如下界面后,使用键盘上的上下键,选中第二项以kernel开头的项。选中后,再次按e键
4,进入以下界面后,在最后面输入空格和s,然后回车。(注意:有的系统显示的内容可能和我下面出现的这一行不一样,没关系,直接加空格和s就行,不影响的;也就说什么呢,只要进入到这个页面,直接加空格和s,不要管他显示的是什么;)
5,接着会回到如下界面,然后按下b键(b代表boot启动)
6,进入如下
7.重置root被锁次数
8,此时输入passwd root回车,
9,输入密码,回车,确认密码,回车,输入reboot,回车;
(声明:输入的密码不会显示出来,如果密码中想要带数字的话,不要使用键盘右边的number pad栏,要使用字母键盘上的数字,因为你不确定此时num lock是否锁定(针对笔记本而言))
step_9:最后就可以使用新密码登录了;
❻ 服务器安全加固_Linux配置账户锁定策略
使用下面命令,查看系统是否含有pam_tally2.so模块,如果没有就需要使用pam_tally.so模块,两个模块的使用方法不太一样,需要区分开来。
编辑系统/etc/pam.d/system-auth 文件,一定要在pam_env.so后面添加如下策略参数:
上面只是限制了从终端su登陆,如果想限制ssh远程的话,要改的是/etc/pam.d/sshd这个文件,添加的内容跟上面一样!
编辑系统/etc/pam.d/sshd文件,注意添加地点在#%PAM-1.0下一行,即第二行添加内容
ssh锁定用户后查看:
编辑系统 /etc/pam.d/login 文件,注意添加地点在#%PAM-1.0的下面,即第二行,添加内容
tty登录锁定后查看:
编辑 /etc/pam.d/remote文件,注意添加地点在pam_env.so后面,参数和ssh一致
❼ linux系统锁定帐号和帐号过期的区别
linux系统锁定帐号和帐号过期的区别是登录状态。根据查询相关公开资料显示,设置的密码经过一段的凯团宴时间后,系统盯银会认为该密码不安全,于是将密码设置为过期状态,锁定将会或租提示锁定。
❽ Linux Centos7设置输入密码三次错误锁定账号
设置输入密码3次错误锁定账号【10800秒/3小时】
输入
# vi /etc/pam.d/sshd
然后按 i 进入编辑
#%PAM-1.0
下面添加 一行
auth required pam_tally2.so deny=3 unlock_time=10800 even_deny_root root_unlock_time=10800
各参数解释
even_deny_root 也限制root用户;
deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户
unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒;
root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒;
此处使用的是 pam_tally2 模块,如果不支持 pam_tally2 可以使用 pam_tally 模块。另外,不同的pam版本,设置可能有所不同,具体使用方法,可以参照相关模块的使用规则。
按 Esc 键退出编辑, 后按 :wq 保存退出
❾ linux如何锁定用户
我们首先来创建一个linux用户,(怎样创建用户查看经验引用),这里就不说明怎样添加用户了,我这里已经添加一个用户xiaoming,就已xiaoming为例吧
1linux添加管理员用户
❿ linux尝试登录失败后锁定用户账户的两种方法
pam_tally2模块(方法一)
用于对系统进行失败的ssh登录尝试后锁定用户帐户。此模块保留已尝试访问的计数和过多的失败尝试。
配置
使用 /etc/pam.d/system-auth 或 /etc/pam.d/password-auth 配置文件来配置的登录尝试的访问
注意:
auth要放到第二行,不然会导致用户超过3次后也可登录。
如果对root也适用在auth后添加 even_deny_root .
auth required pam_tally2.so deny=3 even_deny_root unlock_time=600
pam_tally2命令
查看用户登录失败的信息
解锁用户
pam_faillock 模块(方法二)
在红帽企业版 Linux 6 中, pam_faillock PAM 模块允许系统管理员锁定在指定次数内登录尝试失败的用户账户。限制用户登录尝试的次数主要是作为一个安全措施,旨在防止可能针对获取用户的账户密码的暴力破解
通过 pam_faillock 模块,将登录尝试失败的数据储存在 /var/run/faillock 目录下每位用户的独立文件中
配置
添加以下命令行到 /etc/pam.d/system-auth 文件和 /etc/pam.d/password-auth 文件中的对应区段:
auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth sufficient pam_unix.so nullok try_first_pass
auth [default=die] pam_faillock.so authfail audit deny=3
account required pam_faillock.so
注意:
auth required pam_faillock.so preauth silent audit deny=3 必须在最前面。
适用于root在 pam_faillock 条目里添加 even_deny_root 选项
faillock命令
查看每个用户的尝试失败次数
$ faillock
test:
When Type Source Valid
2017-06-20 14:29:05 RHOST 192.168.56.1 V
2017-06-20 14:29:14 RHOST 192.168.56.1 V
2017-06-20 14:29:17 RHOST 192.168.56.1 V
解锁一个用户的账户