安装pam这个package .
1. 锁定非法用户,未测试。
- auth required pam_env.so
- auth required pam_unix.so nullok try_first_pass (将原来的sufficient 改为required)
- #auth requisite pam_succeed_if.so uid >= 500 quiet (注释掉此行)
- #auth required pam_deny.so (注释掉此行)
- auth required pam_tally2.so deny=5 onerr=fail (增加的一行)
- account required pam_unix.so
- account sufficient pam_succeed_if.so uid < 500 quiet
- account required pam_permit.so
- account required pam_tally2.so (增加的一行)
- password requisite pam_cracklib.so try_first_pass retry=3
- password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
- password required pam_deny.so
- session optional pam_keyinit.so revoke
- session required pam_limits.so
- session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
- session required pam_unix.so
如需管理员立刻解锁,可用如下命令pam_tally2.so -u 用户名 -r 进行清除。
2. 加强密码长度和强健度。
vim /etc/pam.d/system-auth
password requisite pam_cracklib.so minlen=8 lcredit=1 ucredit=1 dcredit=1 ocredit=1 difok=2 retry=3
~hal/sysadmin/pam_cracklib.html
3. 看/etc/login.defs看密码的expiration的设置。
注意设置对root无用,假如root来改其他用户的密码,不受以上设置限制。
阅读(1566) | 评论(0) | 转发(0) |