分类: LINUX
2010-08-04 13:46:17
pam版本高于0.79才可以启用这个登录锁定功能
#一次登录失败就锁60秒,并非在两次登录失败后,才锁60秒,60秒过后又可重新登录,被
锁后只能是root通过faillog -u username -r 解锁.
/etc/pam.d/system-auth
auth required pam_tally.so deny=2 onerr=fail no_magic_root lock_time=60
这个在redhat enterprise 5.2上就可以了,但在redhat enterprise 4.8上不行,每次登录不管成功不成功都会在 /var/log/faillog 记录登录失败次数加1.要想在redhat 4.8版本上也实现此功能,就得分开写:
auth required /lib/security/$ISA/pam_tally.so onerr=fail no_magic_root
account required /lib/security/$ISA/pam_tally.so deny=5 no_magic_root reset
不过对root用户没有效果
password sufficient /lib/security/$ISA/pam_unix.so rember=3 nullok use_authtok md5 shadow #记忆已用过密码.
一:登录失败次回超过限制
1)锁用户的设定 /etc/pam.d/下包含各种认证程序或服务的配置文件。编辑这些可限制认证失败次数,当失败次数超过指定值时用户会被锁住。 在此,以run level为3的时候,多次登录登录失败即锁用户为例: 在/etc/pam.d/login文件中追加如下两行: auth required /lib/security/pam_tally.so onerr=fail no_magic_root account required /lib/security/pam_tally.so deny=3 no_magic_root reset deny=3 设置登录失败3次就将用户锁住,该值可任意设定。 如下为全文见设定例: auth required pam_securetty.so auth required pam_stack.so service=system-auth auth required pam_nologin.so auth required pam_tally.so onerr=fail no_magic_root account required pam_stack.so service=system-auth account required pam_tally.so deny=3 no_magic_root reset password required pam_stack.so service=system-auth session required pam_stack.so service=system-auth session optional pam_console.so 这样当用户在run level=3的情况下登录时,/var/log/faillog会自动生成,裏面记录用户登录失败次数等信息。 可用"faillog -u 用户名"命令来查看。 当用户登录成功时,以前的登录失败信息会重置。 2)用户的解锁 用户因多次登录失败而被锁的情况下,可用faillog命令来解锁。具体如下: faillog -u 用户名 -r 此命令实行后,faillog里记录的失败信息即被重置,用户又可用了。 关於faillog的其他命令。。参见man failog。 二:手动锁定用户禁止使用 可以用usermod命令来锁定用户密码,使密码无效,该用户名将不能使用。 如: usermod -L 用户名 解锁命令:usermod -U 用户名 ...... 要想强制用户下次登录更改密码就使用chage -d 0 username
强制把上次更改密码的日期归零.
定义用户密码变更天数在/etc/shadow 这个文件中定义
对新建的用户在/etc/login.defs这个文件中定义。 |