linux賬戶登入失敗鎖定配置
伺服器系統:centos6.5
1.備份要操作的兩個配置檔案
2.檢查是否有pam_tally2.so模組cp /etc/pam.d/sshd /etc/pam.d/sshd.bak
cp /etc/pam.d/login /etc/pam.d/login.bak
3.登入失敗處理功能策略(伺服器終端)[root@localhost /]# find /lib* -iname "pam_tally2.so"
/lib64/security/pam_tally2.so
[root@localhost /]# find /lib* -iname "pam_tally.so"
[root@localhost /]# cat /etc/pam.d/sshd
auth required pam_tally2.so onerr=fail deny=3 unlock_time=40 even_deny_root root_unlock_time=30
注意新增的位置,要寫在第一行,即#%pam-1.0的下面。
以上策略表示:普通帳戶和 root 的帳戶登入連續 3 次失敗,就統一鎖定 40 秒, 40 秒後可以解鎖。如果不想限制 root 帳戶,可以把 even_deny_root root_unlock_time
這兩個引數去掉, root_unlock_time 表示 root 帳戶的 鎖定時間,onerr=fail 表示連續失敗,deny=3,表示 超過3 次登入失敗即鎖定。
注意:使用者鎖定期間,無論在輸入正確還是錯誤的密碼,都將視為錯誤密碼,並以最後一次登入為鎖定起始時間,若果使用者解鎖後輸入密碼的第一次依然為錯誤密碼,則再次重新鎖定。
檢視日誌 tail -f /var/log/secure 可以看出下面的提示
4.登入失敗處理功能策略(ssh遠端連線登入)
上面只是限制了從終端登陸,如果想限制ssh遠端的話, 要改的是
/etc/pam.d/sshd這個檔案,新增的內容跟上面一樣!
如果在操作中間出現下面這個錯誤:
上面的錯誤意思是在/lib64/security/ 下面找不到pam_tally.so,而我進入到目錄下,確實沒找到這個檔案,解決方法是將現有的 pam_tally2.so做個軟連線到pam_tally.sodec 7 15:06:51 iz2zee7gmy40tbverl53rfz sshd[15747]: pam unable to dlopen(/lib64/security/pam_tally.so): /lib64/security/pam_tally.so: cannot open shared object file: no such file or directory
dec 7 15:06:51 iz2zee7gmy40tbverl53rfz sshd[15747]: pam adding faulty module: /lib64/security/pam_tally.so
5.測試[root@localhost /]# cd /lib64/security/
[root@localhost /]#ln -s pam_tally2.so pam_tally.so
可以故意輸錯密碼超過三次,然後第五次輸入正確密碼,如果正確密碼進入不了系統,說明配置生效。以上的配置是即時生效的,不用重啟配置檔案或系統,但是請注意多開個ssh
視窗,防止配置檔案更改錯誤,將自己關在伺服器外面。
6.解鎖賬戶
如果密碼在鎖定時間內,但是又要立即進入系統,可使用下面方法解鎖被鎖定使用者,當然這是對於root使用者解鎖普通使用者來說的。如果root使用者被鎖,請等待鎖定期過後在操作。
檢視使用者失敗次數
解鎖指定使用者[root@localhost ~]# pam_tally2 --------------------檢視所有使用者登入失敗次數
[root@localhost ~]# pam_tally2 --user root ------------指定檢視登入失敗的使用者次數
[root@localhost /]# pam_tally2 -r -u albert
[root@localhost /]# pam_tally2 --user root
login failures latest failure from
root 5 12/07/17 17:05:54 49.4.151.18
[root@localhost /]# pam_tally2 -r -u root
login failures latest failure from
root 5 12/07/17 17:05:54 49.4.151.18
[root@localhost /]# pam_tally2 -r -u root ###解鎖之後隨即失敗次數歸零,此時即可登入系統
login failures latest failure from
root 0
[root@localhost /]#
python 登入賬戶失敗三次,賬戶自動鎖定
題目需求 1.輸入使用者名稱密碼 2.認證成功後顯示歡迎資訊 3.輸錯三次後鎖定 username zhangsunan passwd 123456 count 0 with open blacklist mode r encoding utf8 as f 開啟黑名單 l list f.readli...
BYOD風險 登入失敗後是否應鎖定賬戶?
制定政策以降低byod風險 企業應該制定政策規定什麼是可接受的行為,什麼是不可接受的行為,並確保每個員工都了解byod風險。同時,有效的政策應該要求對裝置中保持的企業資料進行加密,使用pin或者密碼解鎖裝置,以及遠端擦除或鎖定功能。很多這些要求可通過移動裝置管理 mdm 技術來控制。企業還應部署其他...
linux系統賬戶登入失敗原因記錄
突然無論什麼方法連線也連線不上伺服器了 1.可以ping通 2.telnet ip 埠,可通 3.但是不能實現ssh跳轉,跳轉不成功 後來只能重啟伺服器,然後發現由於早上伺服器突然出現執行緒不足錯誤,網上查詢原因提示說將 etc security limits.d 90 nproc.conf檔案中的...