Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1095153
  • 博文数量: 186
  • 博客积分: 4939
  • 博客等级: 上校
  • 技术积分: 2075
  • 用 户 组: 普通用户
  • 注册时间: 2010-04-08 17:15
文章分类

全部博文(186)

文章存档

2018年(1)

2017年(3)

2016年(11)

2015年(42)

2014年(21)

2013年(9)

2012年(18)

2011年(46)

2010年(35)

分类: 网络与安全

2012-08-13 15:05:26

安装pam这个package .

1. 锁定非法用户,未测试。

  1. auth required pam_env.so
  2.   auth required pam_unix.so nullok try_first_pass (将原来的sufficient 改为required)
  3.   #auth requisite pam_succeed_if.so uid >= 500 quiet (注释掉此行)
  4.   #auth required pam_deny.so (注释掉此行)
  5.   auth required pam_tally2.so deny=5 onerr=fail (增加的一行)
  6.   account required pam_unix.so
  7.   account sufficient pam_succeed_if.so uid < 500 quiet
  8.   account required pam_permit.so
  9.   account required pam_tally2.so (增加的一行)
  10.   password requisite pam_cracklib.so try_first_pass retry=3
  11.   password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
  12.   password required pam_deny.so
  13.   session optional pam_keyinit.so revoke
  14.   session required pam_limits.so
  15.   session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
  16.   session required pam_unix.so

如需管理员立刻解锁,可用如下命令pam_tally2.so -u 用户名 -r 进行清除。


2. 加强密码长度和强健度。

vim /etc/pam.d/system-auth

password    requisite      pam_cracklib.so minlen=8 lcredit=1 ucredit=1 dcredit=1 ocredit=1 difok=2 retry=3

~hal/sysadmin/pam_cracklib.html

3. 看/etc/login.defs看密码的expiration的设置。

注意设置对root无用,假如root来改其他用户的密码,不受以上设置限制。

阅读(1566) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~