仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 887|回复: 8
打印 上一主题 下一主题

[CentOS(社区)] Linux教程之CentOS怎样锁定屡次上岸失利的用户

[复制链接]
乐观 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-14 20:41:28 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!CentOS中有一个pam_tally2.so的PAM模块,来限制用户的登录失利次数,假如次数到达设置的阈值,则锁定用户。编译PAM的设置文件
#vim/etc/pam.d/login
  1. [/code][list=1]
  2. [*]#%PAM-1.0
  3. [*]authrequiredpam_tally2.sodeny=3lock_time=300even_deny_rootroot_unlock_time=10
  4. [*]auth[user_unknown=ignoresuccess=okignoreignore=ignoredefault=bad]pam_securetty.so
  5. [*]authincludesystem-auth
  6. [*]
  7. [*]accountrequiredpam_nologin.so
  8. [*]accountincludesystem-auth
  9. [*]passwordincludesystem-auth
  10. [*]#pam_selinux.socloseshouldbethefirstsessionrule
  11. [*]sessionrequiredpam_selinux.soclose
  12. [*]sessionoptionalpam_keyinit.soforcerevoke
  13. [*]sessionrequiredpam_loginuid.so
  14. [*]sessionincludesystem-auth
  15. [*]sessionoptionalpam_console.so
  16. [*]#pam_selinux.soopenshouldonlybefollowedbysessionstobeexecutedintheusercontext
  17. [*]sessionrequiredpam_selinux.soopen
  18. [/list]各参数注释
  19. [code]
复制代码

  • even_deny_root也限定root用户;

  • deny设置一般用户和root用户一连毛病上岸的最年夜次数,凌驾最年夜次数,则锁定该用户

  • unlock_time设定一般用户锁定后,几工夫后解锁,单元是秒;

  • root_unlock_time设定root用户锁定后,几工夫后解锁,单元是秒;

  • 此处利用的是pam_tally2模块,假如不撑持pam_tally2可使用pam_tally模块。别的,分歧的pam版本,设置大概有所分歧,详细利用***,能够参拍照关模块的利用划定规矩。

在#%PAM-1.0的上面,即第二行,增加内容,必定要写在后面,假如写在前面,固然用户被锁定,可是只需用户输出准确的暗码,仍是能够登录的!
最后的效果以下图


这个只是限定了用户从tty登录,而没无限制近程登录,假如想限定近程登录,必要改SSHD文件
#vim/etc/pam.d/sshd
  1. [/code][list=1]
  2. [*]#%PAM-1.0
  3. [*]authrequiredpam_tally2.sodeny=3unlock_time=300even_deny_rootroot_unlock_time=10
  4. [*]
  5. [*]authincludesystem-auth
  6. [*]accountrequiredpam_nologin.so
  7. [*]accountincludesystem-auth
  8. [*]passwordincludesystem-auth
  9. [*]sessionoptionalpam_keyinit.soforcerevoke
  10. [*]sessionincludesystem-auth
  11. [*]sessionrequiredpam_loginuid.so
  12. [/list]一样是增添在第2行!
  13. [size=18px][font=宋体][b]检察用户登录失利的次数[/b][/font][/size]
  14. [code]
复制代码

  • [root@node100pam.d]#pam_tally2--userredhat
  • LoginFailuresLatestfailureFrom
  • redhat707/16/1215:18:22tty1
解锁指定用户

[code][/code]

  • [root@node100pam.d]#pam_tally2-r-uredhat
  • LoginFailuresLatestfailureFrom
  • redhat707/16/1215:18:22tty1
这个近程ssh的时分,没有提醒,我用的是Xshell,不晓得别的终端有没提醒,只需凌驾设定的值,输出准确的暗码也是上岸不了的!
欢迎大家来到仓酷云论坛!
老尸 该用户已被删除
沙发
发表于 2015-1-16 21:20:16 | 只看该作者

Linux教程之CentOS怎样锁定屡次上岸失利的用户

任何人都可以根据自己的喜好来定制适合自己的操作系统,Linux?是抢占式多任务多用户操作系统.
再现理想 该用户已被删除
板凳
发表于 2015-1-20 09:34:04 | 只看该作者
其实当你安装了一个完整的Linux系统后其中已经包含了一个强大的帮助,只是可能你还没有发现和使用它们的技巧。
简单生活 该用户已被删除
地板
发表于 2015-1-29 06:33:08 | 只看该作者
你需要提供精确有效的信息。Linux这并不是要求你简单的把成吨的出错代码或者数据完全转储摘录到你的提问中。
第二个灵魂 该用户已被删除
5#
发表于 2015-2-14 19:28:08 | 只看该作者
发问的时候一定要注意到某些礼节。因为Linux社区是一个松散的组织、也不承担回复每个帖子的义务。它不是技术支持。
只想知道 该用户已被删除
6#
发表于 2015-3-4 10:02:24 | 只看该作者
未来的学习之路将是以指数增加的方式增长的。从网管员来说,命令行实际上就是规则,它总是有效的,同时也是灵活的。
乐观 该用户已被删除
7#
 楼主| 发表于 2015-3-11 18:17:46 | 只看该作者
任何人都可以根据自己的喜好来定制适合自己的操作系统,Linux?是抢占式多任务多用户操作系统.
蒙在股里 该用户已被删除
8#
发表于 2015-3-19 08:38:29 | 只看该作者
老实说,第一个程序是在C中编译好的,调试好了才在Linux下运行,感觉用vi比较麻烦,因为有错了不能调试,只是提示错误。
9#
发表于 2015-3-27 19:09:56 | 只看该作者
让我树立了很大的信心学好这门课程,也学到了不少专业知识和技能。?
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-23 12:09

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表