linux用戶登錄失敗N次

1、數(shù)據(jù)交換平臺加固方案 TOC o 1-5 h z 設(shè)置密碼復(fù)雜度策略1登錄失敗鎖定策略1確定使用PAM_TALLY2.SO 模塊還是PAM_TALLYSO 模塊1使用pam_tally2.so模塊限制用戶登錄失敗N次鎖定用戶（幾分鐘后自動解鎖）.2遠程SS*登錄限制方法（常用）2查看用戶登錄失敗的次數(shù)并解鎖命令.3Suse Linux 多次登錄失敗鎖定用戶及解鎖3手動鎖定用戶禁止使用3本地字符終端登錄限制方法（不常用）4本地圖形登錄限制方法（不常用）5使用pam_tallyso模塊限制用戶登錄失敗N次鎖定用戶（幾分鐘后自動解鎖）5如果想在所有登陸方式上，限制所有用戶5只在本地文本終端上做限制5

2、只在圖形化登陸界面上做限制，5只在遠程telnet、ssh登陸上做限制5手動解除鎖定：6pam _tally沒有自動解鎖功能6添加crontab任務(wù)（達到定時自動解鎖的功能）6設(shè)置密碼復(fù)雜度策略備份方法：cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak加固方法：添加以下內(nèi)容auth required pam_tally.so deny=5 unlock_time=600 no_lock_timeaccount required pam_tally.so回退方法：rsync -avp /etc/pam.d/system-auth_ba

3、k /etc/pam.d/system-auth登錄失敗鎖定策略2.1.確定使用pam_tally2.so模塊還是pam_tally.so模塊使用下面命令，查看系統(tǒng)是否含有pam_tally2.so模塊，如果沒有，就需要使用pam_tally.so模塊， 兩個模塊的使用方法不太一樣，需要區(qū)分開來。oot(&reclhat6 :=rooWredhat6 J:vcjhHtE 2# find-i name/11 b64/secur1 ty/pamL_tal1y2J5Q-| rooteredhatG -# find /lib* -1 name 7 ciot&redhatfi # r o&t&redha

4、tG -I #pan_tal Iy2. sopanL-tally. 502.2.使用pam_tally2.so模塊限制用戶登錄失敗N次鎖定用戶（幾分鐘后自動解鎖）Linux有一個pam_tally2.so的PAM模塊，來限定用戶的登錄失敗次數(shù)，如果次數(shù)達到設(shè)置 的閾值，則鎖定用戶。遠程ssh登錄限制方法（常用）如果想限制遠程登錄，需要改SSHD文件（可以只限制遠程登錄而不限制tty登錄即只對sshd 文件增加此限制），在#%PAM-1.0的下面，即第二行，添加內(nèi)容，一定要寫在前面，如果寫在后面，雖然用戶被鎖定，但是只要用戶輸入正確的密碼，還是可以登錄的!rootrfldhatfi -# cat

5、 am t h|T squire d|auchnequlredauthincludeaccountrequiredaccountincludepasswordIncludepam_selinLix. so closesessionrequiredsessionrequiredpaI11 muse. s o ape nsessionriequiredsessionopti onalsessionincludeir ooraLredhac6 ./etc/pam. d/sshdpam_tal 1 y2,5odeny= 3Elirilock_tin 300 aaiii_sepiermlT. so 3a

6、ssword-auth sam.niologin. sq pas swotd-auth sassord-aijihshould be the fi rst sesslDm ruilepam_seli nux. so closepani_logi nuid, 5 0slmuld only bue fQillowed by sessioms io b&1n wh旦 user coniexrpaun_seli mux. so opsn env_p.aranE p;ani_keyi nit. so foree revoke pass-word-auth失敗效果（遠程ssh登錄；這個遠程ssh的時候，沒

7、有提示，我用的是Xshell，不知道其它 終端有沒提示，只要超過設(shè)定的值，輸入正確的密碼也是登陸不了的!）如下：也可以直接在system-auth文件中直接添加這些命令，修改完成后，凡是調(diào)用system-auth文件的服 務(wù)，都會生效。因為有自動解鎖時間，所以，不用擔心全部限制后，會出現(xiàn)永遠無法登陸的尷尬”情況。rootredhat6Logi n or aclerootredhat6Logi n or aclerootredhatGLogi n oracle rootredhat6Logi n or acler” c i h lpain.:ri -* p am_Tz al 1 yz |-一us

8、er or acl ewfs Latest f&i 1 LireFrom192.168.111.1pan.Fa” I 09-/04/14- 13: 75:05i =# pal 1 y2 -user or acleures Latest fai 1 ureFrom查看用戶登錄失敗的次數(shù)并解鎖命令140&/04/14_J_Z：15 192.168.111.1pa.m. d#- p a.in_t a.11 y2 l-r -u I or acl e FailLires Latest fai 1 ureFromiT 0/04/14 13:57:15 192.163.111.1 pam. d j # p

9、ain_t al 1 y2 一一user or acl eFal Latest fal 1 ure Prom 0 I ri 1 1 rFSuse Linux多次登錄失敗鎖定用戶及解鎖在服務(wù)器端以root用戶登錄執(zhí)行命令：faillog - a/查看用戶登錄錯誤次數(shù)如果超過三次的話，用戶不能登錄并且此后登錄用戶錯誤登錄次數(shù)還是會增加。在登錄錯誤次數(shù)不滿三次時，登錄成功后，則這個用戶登錄錯誤值將清零，退出后重新telnet 登錄將采用新的計數(shù)。faillog -u user - r/清空指定用戶user的錯誤登錄次數(shù)faillog - r/清空所有用戶錯誤登錄次數(shù)/var/log/faillog會

10、自動生成，里邊記錄用戶登錄失敗次數(shù)等信息手動鎖定用戶禁止使用可以用usermod命令來鎖定用戶密碼，使密碼無效，該用戶名將不能使用。鎖定命令：usermod -L用戶名解鎖命令：usermod -U用戶名、|在字符終端下|實現(xiàn)某一用月連續(xù)錯誤登陸N次后，就鎖定該用戶X分鐘。執(zhí)行 vi /etc/pam.d/login在#%PAM-1.0 T新起一行，加入auth required pam_tally2.so deny=3 unlod_t:imE=5 EVEn dEny rc3口t:口口t unl口口11:】土 = 1 口如果不限tijrootffl戶，則可以寫成auth required pa

11、m_tally2.so deny=3 unlock_time=5其中大搠含義如下：even_denv_-oct也限制-?？谄哂脩簦?jfl5dan/ -設(shè)置昔通用戶和-如t用戶連續(xù)錯誤登陸的最大次數(shù)，超過最大次數(shù)，則偵定該用Linlcck_time設(shè)定普通用戶鎖定后，多少時間后解鎖，單位是秒；-cot_unlcck_time設(shè)定咬七用戶鎖走信，多少而油信解鎖，單位是秒；此處使用的是pam_tally2如果不支持pam_tally2 njl使用模塊。另外，不同的pmm版本，設(shè)置可能有所不同，具體使用方法，可以參照相關(guān)模塊的使用規(guī)則。rootredha(i6 car /etc/pam, d/1 o

12、gin 榆autlauth uEeir_ Ulh account accQunt passward 0 pait_5el1nux, so close sessionrequi redsessionrequiredsessionopronalS paa-seli mux. sa ofsen session sessian session session -sess-i on . rDorGiredlhaxiB 停呷-LQ:hl 卜 ui r ejpam_t a 11 yl - sc|jeny3 1 ock_t i me= 300urk nciiirT-inor e success-ak ignQ

13、re-tgnDre default-bad pam_sacureiriry. so &ysceni-auTh一pam_nologi n. sd s-yseni-aui:b system-aurh! should be The first session rule p*m_selinux.se cldss pam-loginuid.so pam_console-5Dshld only be fd 1 owed by sessions to be executed in the user conteKt p*m_selinux. sq open pam_namespace. so pam-keyi

14、nir.so force revoke system-auth pajn_ckconriector. eInclude required iinclude includerequired requi red opilQncLl i include optional在#%PAM-1.0的下面，即第二行，添加內(nèi)容，一定要寫在前面，如果寫在后面，雖然用戶 被鎖定，但是只要用戶輸入正確的密碼，還是可以登錄的！失敗效果（tty登錄）如下圖：Red Hat Enterprise L inux Server release 6.4 (Santiago) Kerne 1 Z.6.32-358.e16.x36_

15、64 on an x86_64redhat6 Login： orac1eAccount temporary locked (Z64 seconds left3Password:Login incorrectlogin : oracleAccount temporary locked (Z46 seconds left3Password:Login incorrectlogin: oracleAccount temporary locked (Z38 seconds left5Password:Login incorrectlogin : _本地圖形登錄限制方法（不常用） 二、壺圖形登陸界可 買

16、些杲用戶連續(xù)錯誤登陸西次后，就禎定該用戶K分鐘。執(zhí)行 vi /etypam. /kde在%PAM-1.0下莉起一行，加入auth required pam_tally2.so 回如 匝叫_。口11:|業(yè).|1=3 Linlock_time =5 root_Linilock_time = 10如果不限制的口七用戶，則可以寫成auth required pam_tally2.so deny =2 unlock_time=52.3.使用pam_tally.so模塊限制用戶登錄失敗N次鎖定用戶（幾分鐘后自動解鎖）如果想在所有登陸方式上，限制所有用戶可以在 /etc/pam.d/system-auth

17、中增加 2 行如果不想限制root用戶，可以將even_deny_root_account取消掉。auth required pam_tally-so onerr-fail n o _ma gi c_rot account required pam_tallybsd Id己）=3| no_magic_root e/en_deny_root_ac count per_user reset辰ny設(shè)置普通用戶和fN用戶連續(xù)錯誤登陸的最大次數(shù)，超過最大次數(shù)則鎖定該用戶;nc_iragic_-cct 咨-口口上甬戶也在限制范圍，不給-mt特殊枳娘。詳細蛋數(shù)的含義，參見 pus -/sha-e/dcc/p

18、am-xxKK/t）cts/README . pan _tally只在本地文本終端上做限制可以編輯如下文件，添加的內(nèi)容和上方一樣。vi /etc/pam.d/login只在圖形化登陸界面上做限制，可以編輯如下文件，添加的內(nèi)容和上方也一樣。vi /etc/pam.d/kde只在遠程telnet、ssh登陸上做限制可以編輯如下文件，添加的內(nèi)容和上方也一樣。vi /etc/pam.d/remotevi /etc/pam.d/sshd手動解除鎖定:查看某一用戶錯誤登陸次數(shù)：查看work用戶的錯誤登陸次數(shù)：pam_tally -user work清空某一用戶錯誤登陸次數(shù)：清空work用戶的錯誤登陸次數(shù)，pam_tally -user work -reset faillog -r命令亦可。pam_tally沒有自動解鎖功能因為pam_tally沒有自動解鎖的功能，所以，在設(shè)置限制時，要多加注意，萬一全做了限制，而ro