1、在字符终端下,实现某一用户连续错误登陆N次后,就锁定该用户X分钟(pam_tally2)
执行 vi /etc/pam.d/login
在#%PAM-1.0 下新起一行,加入
auth required pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=10
如果不限制root用户,则可以写成
auth required pam_tally2.so deny=5 unlock_time=600
even_deny_root 也限制root用户;
deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户;
unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒;
root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒;
说明
auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=300
/etc/pam.d/login中配置只在本地文本终端上做限制(也就是字符终端)
/etc/pam.d/kde在配置时在kde图形界面调用时限制
/etc/pam.d/sshd中配置时在通过ssh连接时做限制
/etc/pam.d/system-auth中配置凡是调用 system-auth 文件的服务,都会生效
我的操作:
注意:
auth要放到第二行,不然会导致用户超过3次后也可登录。
vi /etc/pam.d/system-auth
添加以下一行
auth required pam_tally2.so deny=5 unlock_time=600
vi /etc/pam.d/sshd
添加以下一行
auth required pam_tally2.so deny=5 unlock_time=600
解锁用户:
pam_tally2 --user=要解锁的用户名 --reset
2:设置复杂度策略
vi /etc/pam.d/system-auth
找到包含pam_pwquality.so模块的行,将原有行注释并修改为如下的新配置,密码长度最少12位,至少包含一个大写字母,一个小写字母,一个数字,一个特殊符号。
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
说明:
- minlen=12 密码最小长度为8个字符。
- lcredit=-1 密码应包含的小写字母的至少一个
- ucredit=-1 密码应包含的大写字母至少一个
- dcredit=-1 将密码包含的数字至少为一个
- ocredit=-1 设置其他符号的最小数量,例如@,#、! $%等,至少要有一个
- enforce_for_root 确保即使是root用户设置密码,也应强制执行复杂性策略。
查看密码有效期:
#chage -l root
Last password change : never
Password expires : never
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 99999 密码永不过期
Number of days of warning before password expires : 7
设置密码有效期
[root@node2 ~ ]# chage -d 0 -m 0 -M 180 -W 15 root 设置密码最低有效期0-180天,提前15天发警报提醒
再次查看:
[root@node2 ~ ]# chage -l root
Last password change : Jun 20, 2019 最近一次密码更改:2019年6月20日
Password expires : Dec 17, 2019 密码过期:2019年12月17日
Password inactive : never 密码无效:从未
Account expires : never 帐户过期:从未
Minimum number of days between password change : 0 密码更改之间的最短天数:0
Maximum number of days between password change : 180 密码更改之间的最大天数:180天
Number of days of warning before password expires : 15 密码过期前的警告天数:15天
修改这三个账号密码:
# passwd shenjiguanliyuan
# passwd anquanguanliyuan
# passwd xitongguanliyuan
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)