admin管理员组

文章数量:1532656

一、pam_tally导致账户锁定

1、在/etc/pam.d/system-auth和/etc/pam.d/password-auth中增加配置,只在system-auth中增加不起作用。

auth        required      pam_tally2.so  deny=3 unlock_time=60

该配置不会锁定管理员root用户,只会锁定普通用户;

要同时锁定管理员用户,需要增加even_deny_root参数,使限制同时对root生效。

auth        required      pam_tally2.so  deny=3  even_deny_root unlock_time=60

2、使用错误账户密码登录3次就会锁定60秒

3、使用root用户解锁

# pam_tally2 -u ossadm -r --reset

解锁后错误登录次数会清除

如果是等60s自动解锁后,不会清除错误登录次数。如果使用正确密码登录成功一次,会清除错误登录次数。

二、pam_faillock导致账户锁定

1、在/etc/pam.d/system-auth和/etc/pam.d/password-auth中增加配置

auth        required      pam_faillock.so preauth audit deny=3 even_deny_root unlock_time=60

尝试错误登录3次,锁定60s

主要看faillock命令显示的valid值,V表示有效(错误密码登录), I表示无效。

查询每个用户尝试失败次数,如ossadm

# faillock --user ossadm

解锁用户

# faillock --user ossadm --reset

faillock模块不会因为中途输入正确密码而重置错误次数,错误次数不不断累加。

三、用户禁用

 # usermod -L ossadm

禁用用户后使用正确的密码不能正常登录, 被锁定账户加密串前会存在!或者*

 # usermod -U ossadm

四、用户不能su切换到root

 auth           required        pam_wheel.so use_uid

注释该行后ossadm用户可以su到root

取消注释后ossadm用户不能su到root

使用gpasswd将ossadm添加进wheel组之后,ossadm可以正常切换root。

五、账户密码过期

#  chage -I -1 -m 0 -M 99999 -E -1 ossadm

-I, --inactive INACTIVE       设置密码过期后不活动

密码过期后输入正确密码的提示:You are required to chage your password immediately(administrator enforced)

Changing password ossadm

Current password:

New password:

-E, --expiredate EXPIRE_DATE       设置账户过期日期

账户过期输入正确密码的提示:Your account has expired; please contact your system administrator.

su:User account has expired

 -m, --mindays MIN_DAYS   密码最短使用期限

 -M, --maxdays MAX_DAYS  密码最长使用期限

本文标签: 账户操作系统pamtallyexpiresusermod

版权声明:本文标题:操作系统账户锁定(pam_tally, faillock,usermod,expires) 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1725429756a1022768.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。