1、在字符终端下,实现某一用户连续错误登陆N次后,就锁定该用户X分钟(pam_tally2)
执行 vi /etc/pam.d/login
在#%PAM-1.0 下新起一行,加入
auth required pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=10
如果不限制root用户,则可以写成
auth required pam_tally2.so deny=5 unlock_time=600
even_deny_root 也限制root用户;
deny 设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户;
unlock_time 设定普通用户锁定后,多少时间后解锁,单位是秒;
root_unlock_time 设定root用户锁定后,多少时间后解锁,单位是秒;
auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=300
/etc/pam.d/login中配置只在本地文本终端上做限制(也就是字符终端)
/etc/pam.d/kde在配置时在kde图形界面调用时限制
/etc/pam.d/sshd中配置时在通过ssh连接时做限制
/etc/pam.d/system-auth中配置凡是调用 system-auth 文件的服务,都会生效
注意:
auth要放到第二行,不然会导致用户超过3次后也可登录。
vi /etc/pam.d/system-auth
添加以下一行
auth required pam_tally2.so deny=5 unlock_time=600
vi /etc/pam.d/sshd
添加以下一行
auth required pam_tally2.so deny=5 unlock_time=600
解锁用户:
pam_tally2 --user=要解锁的用户名 --reset
2:设置复杂度策略
vi /etc/pam.d/system-auth
找到包含pam_pwquality.so模块的行,将原有行注释并修改为如下的新配置,密码长度最少12位,至少包含一个大写字母,一个小写字母,一个数字,一个特殊符号。
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
说明:
查看密码有效期:
#chage -l root
Last password change : never
Password expires : never
Password inactive : never
Account expires : never
Minimum number of days between password change : 0
Maximum number of days between password change : 99999 密码永不过期
Number of days of warning before password expires : 7
设置密码有效期
[root@node2 ~ ]# chage -d 0 -m 0 -M 180 -W 15 root 设置密码最低有效期0-180天,提前15天发警报提醒
再次查看:
[root@node2 ~ ]# chage -l root
Last password change : Jun 20, 2019 最近一次密码更改:2019年6月20日
Password expires : Dec 17, 2019 密码过期:2019年12月17日
Password inactive : never 密码无效:从未
Account expires : never 帐户过期:从未
Minimum number of days between password change : 0 密码更改之间的最短天数:0
Maximum number of days between password change : 180 密码更改之间的最大天数:180天
Number of days of warning before password expires : 15 密码过期前的警告天数:15天
修改这三个账号密码:
# passwd shenjiguanliyuan
# passwd anquanguanliyuan
# passwd xitongguanliyuan