《linux用户登录失败N次,锁定用户(几分钟后该用户再自动解锁).doc》由会员分享,可在线阅读,更多相关《linux用户登录失败N次,锁定用户(几分钟后该用户再自动解锁).doc(5页珍藏版)》请在三一办公上搜索。
1、linux用户登录失败N次,锁定用户(几分钟后该用户再自动解锁)1.确定使用PAM_TALLY2.SO 模块还是PAM_TALLY.SO 模块12.使用PAM_TALLY2.SO 模块限制用户登录失败N次锁定用户(几分钟后自动解锁)12.1.远程ssh登录限制方法(常用)12.2.查看用户登录失败的次数并解锁命令22.3.Suse Linux 多次登录失败锁定用户及解锁22.4.手动锁定用户禁止使用32.5.本地字符终端登录限制方法(不常用)32.6.本地图形登录限制方法(不常用)43.使用PAM_TALLY.SO 模块限制用户登录失败N次锁定用户(几分钟后自动解锁)44.1.如果想在所有登陆
2、方式上,限制所有用户44.2.只在本地文本终端上做限制44.3.只在图形化登陆界面上做限制,54.4.只在远程telnet、ssh登陆上做限制54.5.3、手动解除锁定:54.6.pam_tally没有自动解锁功能54.7.添加crontab任务(达到定时自动解锁的功能)51. 确定使用pam_tally2.so 模块还是pam_tally.so 模块使用下面命令,查看系统是否含有 pam_tally2.so 模块,如果没有,就需要使用 pam_tally.so 模块,两个模块的使用方法不太一样,需要区分开来。2. 使用pam_tally2.so 模块限制用户登录失败N次锁定用户(几分钟后自动
3、解锁)Linux有一个pam_tally2.so的PAM模块,来限定用户的登录失败次数,如果次数达到设置的阈值,则锁定用户。1.2.2.1. 远程ssh登录限制方法(常用)如果想限制远程登录,需要改SSHD文件(可以只限制远程登录而不限制tty登录即只对sshd文件增加此限制),在#%PAM-1.0的下面,即第二行,添加内容,一定要写在前面,如果写在后面,虽然用户被锁定,但是只要用户输入正确的密码,还是可以登录的!失败效果(远程ssh登录;这个远程ssh的时候,没有提示,我用的是Xshell,不知道其它终端有没提示,只要超过设定的值,输入正确的密码也是登陆不了的!)如下:也可以直接在 syst
4、em-auth 文件中直接添加这些命令,修改完成后,凡是调用 system-auth 文件的服务,都会生效。因为有自动解锁时间,所以,不用担心全部限制后,会出现永远无法登陆的“尴尬”情况。2.2. 查看用户登录失败的次数并解锁命令2.3. Suse Linux 多次登录失败锁定用户及解锁 在服务器端以root用户登录执行命令:# faillog a /查看用户登录错误次数如果超过三次的话,用户不能登录并且此后登录用户错误登录次数还是会增加。在登录错误次数不满三次时,登录成功后,则这个用户登录错误值将清零,退出后重新telnet登录将采用新的计数。 # faillog -u user r /清空
5、指定用户user的错误登录次数# faillog r /清空所有用户错误登录次数/var/log/faillog会自动生成,里边记录用户登录失败次数等信息2.4. 手动锁定用户禁止使用可以用usermod命令来锁定用户密码,使密码无效,该用户名将不能使用。锁定命令: usermod -L 用户名解锁命令:usermod -U 用户名2.5. 本地字符终端登录限制方法(不常用)在#%PAM-1.0的下面,即第二行,添加内容,一定要写在前面,如果写在后面,虽然用户被锁定,但是只要用户输入正确的密码,还是可以登录的!失败效果(tty登录)如下图:2.6. 本地图形登录限制方法(不常用)3. 使用pa
6、m_tally.so 模块限制用户登录失败N次锁定用户(几分钟后自动解锁)3.4.4.1. 如果想在所有登陆方式上,限制所有用户可以在 /etc/pam.d/system-auth 中增加2行如果不想限制root用户,可以将 even_deny_root_account 取消掉。4.2. 只在本地文本终端上做限制可以编辑如下文件,添加的内容和上方一样。vi /etc/pam.d/login4.3. 只在图形化登陆界面上做限制,可以编辑如下文件,添加的内容和上方也一样。vi /etc/pam.d/kde4.4. 只在远程telnet、ssh登陆上做限制可以编辑如下文件,添加的内容和上方也一样。v
7、i /etc/pam.d/remotevi /etc/pam.d/sshd4.5. 3、手动解除锁定:查看某一用户错误登陆次数:查看work用户的错误登陆次数:pam_tally user work清空某一用户错误登陆次数:清空 work 用户的错误登陆次数,pam_tally user work resetfaillog -r 命令亦可。4.6. pam_tally没有自动解锁功能因为pam_tally没有自动解锁的功能,所以,在设置限制时,要多加注意,万一全做了限制,而root用户又被锁定了,就只能够进单用户模式解锁了,当然,也可以添加crontab任务,达到定时自动解锁的功能,但需要注意的是,如果在/etc/pam.d/system-auth 文件中添加了pam_tally的话,当root被锁定后,crontab任务会失效,所以,最好不要在system-auth 文件中添加pam_tally。4.7. 添加crontab任务(达到定时自动解锁的功能)root用户执行 crontab -e 命令,添加如下内容意思是,每1分钟,将所有用户登陆失败的次数清空,并将所有用户解锁。
