passwd -l username 鎖定用戶的口令
目前創(chuàng)新互聯(lián)已為千余家的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)絡(luò)空間、網(wǎng)站運(yùn)營、企業(yè)網(wǎng)站設(shè)計(jì)、玉州網(wǎng)站維護(hù)等服務(wù),公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略,正道將秉承"和諧、參與、激情"的文化,與客戶和合作伙伴齊心協(xié)力一起成長,共同發(fā)展。
usermod -L username 鎖定用戶密碼,使密碼無效。
在虛擬機(jī)中鎖定用戶的命令是"chattr +i [文件名]"。其中,chattr是Linux系統(tǒng)中的一個(gè)命令,用于修改文件的擴(kuò)展屬性。+i是chattr命令中的一個(gè)選項(xiàng),表示將文件設(shè)置為不可修改。因此,執(zhí)行"chattr +i [文件名]"命令后,虛擬機(jī)中的用戶將無法對(duì)該文件進(jìn)行修改、刪除或重命名等操作。如果需要對(duì)該文件進(jìn)行修改,需要先解除其鎖定,可以使用"chattr -i [文件名]"命令來解除文件的鎖定狀態(tài)。虛擬機(jī)中鎖定用戶的命令可以有效地保護(hù)重要文件的安全,防止誤操作或惡意操作對(duì)文件造成損害。
pam_tally2模塊(方法一)
用于對(duì)系統(tǒng)進(jìn)行失敗的ssh登錄嘗試后鎖定用戶帳戶。此模塊保留已嘗試訪問的計(jì)數(shù)和過多的失敗嘗試。
配置
使用 /etc/pam.d/system-auth 或 /etc/pam.d/password-auth 配置文件來配置的登錄嘗試的訪問
注意:
auth要放到第二行,不然會(huì)導(dǎo)致用戶超過3次后也可登錄。
如果對(duì)root也適用在auth后添加 even_deny_root .
auth required pam_tally2.so deny=3 even_deny_root unlock_time=600
pam_tally2命令
查看用戶登錄失敗的信息
解鎖用戶
pam_faillock 模塊(方法二)
在紅帽企業(yè)版 Linux 6 中, pam_faillock PAM 模塊允許系統(tǒng)管理員鎖定在指定次數(shù)內(nèi)登錄嘗試失敗的用戶賬戶。限制用戶登錄嘗試的次數(shù)主要是作為一個(gè)安全措施,旨在防止可能針對(duì)獲取用戶的賬戶密碼的暴力破解
通過 pam_faillock 模塊,將登錄嘗試失敗的數(shù)據(jù)儲(chǔ)存在 /var/run/faillock 目錄下每位用戶的獨(dú)立文件中
配置
添加以下命令行到 /etc/pam.d/system-auth 文件和 /etc/pam.d/password-auth 文件中的對(duì)應(yīng)區(qū)段:
auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600
auth sufficient pam_unix.so nullok try_first_pass
auth [default=die] pam_faillock.so authfail audit deny=3
account required pam_faillock.so
注意:
auth required pam_faillock.so preauth silent audit deny=3 必須在最前面。
適用于root在 pam_faillock 條目里添加 even_deny_root 選項(xiàng)
faillock命令
查看每個(gè)用戶的嘗試失敗次數(shù)
$ faillock
test:
When Type Source Valid
2017-06-20 14:29:05 RHOST 192.168.56.1 V
2017-06-20 14:29:14 RHOST 192.168.56.1 V
2017-06-20 14:29:17 RHOST 192.168.56.1 V
解鎖一個(gè)用戶的賬戶