Linux 配置账户锁定策略
linux中可以使用pam的pam_tally2.so模块来实现。
linux对账户的锁定功能比windows的要更加广泛,强大,windows组策略中的限制,只是在系统层面的限制,而linux借助pam(Pluggable Authentication Modules,插件式认证模块)的强大,不单止可以系统层面实现,还能在各中支持pam的应用中实现这种安全锁定策略。
su 多次切换失败后锁定用户
1
2
3
|
vi /etc/pam.d/system-auth
auth required pam_env.so
auth required pam_tally2.so even_deny_root deny=3 unlock_time=120
|
注意:
1、顺序不要错,一定要在pam_env.so后面
2、deny:拒绝次数
3、even_deny_root:包含root用户
4、unlock_time:解锁时间 root_unlock_time:root账户解锁时间
SSH方式登录错误的限制
在文件/etc/pam.d/sshd
650) this.width=650;" src="https://www.itdaan.com/imgs/4/7/9/2/33/105eca768cdc76e36844b3c1aba99f26.jpe" border="0" alt="">
添加auth required pam_tally2.so deny=5 unlock_time=300
注意添加地点在 #%PAM-1.0 下一行
TELNET用户限制
在文件/etc/pam.d/remote中修改,方式与SSH一样
注意:
1、顺序不要错,一定要在pam_env.so后面
2、deny:拒绝次数
3、even_deny_root:包含root用户
4、unlock_time:解锁时间
手动解锁
pam-tally2 –u 账号 查看失败登录
pam-tally2 –u 账号 –r 清楚失败登录后可以登录
更多相关文章
- 关于使用samba用户的权限设置
- Shell脚本创建linux用户帐户但密码出错
- Linux 批量添加和删除用户
- Linux中的文件权限和用户组
- 添用户报错:useradd:警告:此主目录已经存在
- 配置 limits.conf 限制 Linux 用户登录数量
- WinSCP 中普通用户以 root 身份登录 Linux
- ubuntu下的Samba配置:使每个用户可以用自己的用户名和密码登录自
- Linux下非root用户能创建新文件,却不能拷贝文件的问题